Mercury: An Automated Remote Side-channel Attack to Nvidia Deep Learning Accelerator

要約

DNN アクセラレータは、推論プロセスを高速化し、エネルギー消費を削減するために、多くのシナリオで広く導入されています。
アクセラレータの使用に関する大きな懸念の 1 つは、デプロイされたモデルの機密性です。アクセラレータ上でモデル推論を実行すると、サイドチャネル情報が漏洩する可能性があり、これにより攻撃者がモデルの詳細を貴重に回復することが可能になります。
このようなモデル抽出攻撃は、DNN モデルの知的財産を侵害するだけでなく、一部の敵対的攻撃を促進する可能性があります。
これまでの研究では、DNN アクセラレータからモデルを抽出するための多くのサイドチャネル手法を実証してきましたが、これらは 2 つの理由から実用的ではありません。
(1) 現実世界では実用性が限られている、簡素化されたアクセラレータ実装のみを対象としています。
(2) 人間による多大な分析とドメイン知識が必要です。
これらの制限を克服するために、このホワイト ペーパーでは、既製の Nvidia DNN アクセラレータに対する最初の自動化されたリモート サイドチャネル攻撃である Mercury について説明します。
Mercury の重要な洞察は、サイドチャネル抽出プロセスをシーケンス間問題としてモデル化することです。
攻撃者は、時間デジタル変換器 (TDC) を利用して、ターゲット モデルの推論の電力トレースをリモートで収集する可能性があります。
次に、学習モデルを使用して、事前知識がなくても電力トレースから被害者モデルのアーキテクチャの詳細を自動的に復元します。
攻撃者はさらに、アテンション メカニズムを使用して、攻撃に最も寄与する漏洩ポイントを特定することができます。
評価結果は、Mercury がモデル抽出のエラー率を 1% 未満に抑えることができることを示しています。

要約(オリジナル)

DNN accelerators have been widely deployed in many scenarios to speed up the inference process and reduce the energy consumption. One big concern about the usage of the accelerators is the confidentiality of the deployed models: model inference execution on the accelerators could leak side-channel information, which enables an adversary to preciously recover the model details. Such model extraction attacks can not only compromise the intellectual property of DNN models, but also facilitate some adversarial attacks. Although previous works have demonstrated a number of side-channel techniques to extract models from DNN accelerators, they are not practical for two reasons. (1) They only target simplified accelerator implementations, which have limited practicality in the real world. (2) They require heavy human analysis and domain knowledge. To overcome these limitations, this paper presents Mercury, the first automated remote side-channel attack against the off-the-shelf Nvidia DNN accelerator. The key insight of Mercury is to model the side-channel extraction process as a sequence-to-sequence problem. The adversary can leverage a time-to-digital converter (TDC) to remotely collect the power trace of the target model’s inference. Then he uses a learning model to automatically recover the architecture details of the victim model from the power trace without any prior knowledge. The adversary can further use the attention mechanism to localize the leakage points that contribute most to the attack. Evaluation results indicate that Mercury can keep the error rate of model extraction below 1%.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google