Fault Injection on Embedded Neural Networks: Impact of a Single Instruction Skip

要約

特に重要な組み込みシステムでは、ニューラル ネットワーク モデルの大規模な統合と使用に伴い、信頼性を保証するためのセキュリティ評価が緊急の必要性となっています。
より具体的には、32 ビット マイクロコントローラーなどの組み込みプラットフォームに展開されたモデルは、敵対者によって物理的にアクセスできるため、ハードウェア障害に対して脆弱です。
Cortex M4 32 ビット マイクロコントローラー プラットフォームに埋め込まれたニューラル ネットワーク モデルに適用される、電磁注入とレーザー注入という 2 つの障害注入手段の使用に関する最初の実験セットを紹介します。
内部パラメータや入力値の変更に特化したほとんどの最先端の研究とは対照的に、私たちの目標は、命令スキップという特定の障害モデルの影響をシミュレートし、実験的に実証することです。
この目的のために、ニューラル ネットワーク推論の制御フローに対するいくつかの変更攻撃を評価しました。
典型的な畳み込みニューラル ネットワーク モデルの推論プログラムのいくつかのステップをターゲットにすることで、整合性の脅威を明らかにします。このステップは、攻撃者によって悪用され、さまざまな敵対的な目標を持つターゲット モデルの予測を変更する可能性があります。

要約(オリジナル)

With the large-scale integration and use of neural network models, especially in critical embedded systems, their security assessment to guarantee their reliability is becoming an urgent need. More particularly, models deployed in embedded platforms, such as 32-bit microcontrollers, are physically accessible by adversaries and therefore vulnerable to hardware disturbances. We present the first set of experiments on the use of two fault injection means, electromagnetic and laser injections, applied on neural networks models embedded on a Cortex M4 32-bit microcontroller platform. Contrary to most of state-of-the-art works dedicated to the alteration of the internal parameters or input values, our goal is to simulate and experimentally demonstrate the impact of a specific fault model that is instruction skip. For that purpose, we assessed several modification attacks on the control flow of a neural network inference. We reveal integrity threats by targeting several steps in the inference program of typical convolutional neural network models, which may be exploited by an attacker to alter the predictions of the target models with different adversarial goals.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google