Unveiling Signle-Bit-Flip Attacks on DNN Executables

要約

最近の研究では、ビットフリップ攻撃 (BFA) が DRAM Rowhammer の悪用を通じてディープ ニューラル ネットワーク (DNN) を操作できることが示されています。
既存の攻撃は主に、PyTorch などの高レベルの DNN フレームワークを介して開始され、モデル重みファイル内のビットを反転します。
それにもかかわらず、DNN は、低レベルのハードウェア プリミティブを最大限に活用するために、ディープ ラーニング (DL) コンパイラーによって低レベルの実行可能ファイルにコンパイルされることがよくあります。
コンパイルされたコードは通常高速であり、高レベルの DNN フレームワークとは大きく異なる実行パラダイムを示します。
このペーパーでは、特に DL コンパイラによってコンパイルされた DNN 実行可能ファイルに対する BFA の攻撃対象領域に関する最初の体系的な研究を開始します。
私たちは、DNN 実行可能ファイル内の脆弱なビットを特定し、BFA を使用して DNN 実行可能ファイル内のモデル構造を悪用する実際的な攻撃ベクトルを特定するための自動検索ツールを設計します (これまでの研究では、モデルの重みを攻撃するための強力な想定が行われている可能性があります)。
DNN 実行可能ファイルは、高レベルの DNN フレームワークのモデルよりも「不透明」に見えます。
それにもかかわらず、DNN 実行可能ファイルには、高レベルの DNN モデルには存在しない、広範で重大な (シングル ビット フリップなど) 転送可能な攻撃対象領域が含まれており、モデル全体のインテリジェンスを枯渇させ、出力ラベルを制御するために悪用される可能性があることがわかりました。
私たちの調査結果では、将来の DNN コンパイル ツールチェーンにセキュリティ メカニズムを組み込むことが求められています。

要約(オリジナル)

Recent research has shown that bit-flip attacks (BFAs) can manipulate deep neural networks (DNNs) via DRAM Rowhammer exploitations. Existing attacks are primarily launched over high-level DNN frameworks like PyTorch and flip bits in model weight files. Nevertheless, DNNs are frequently compiled into low-level executables by deep learning (DL) compilers to fully leverage low-level hardware primitives. The compiled code is usually high-speed and manifests dramatically distinct execution paradigms from high-level DNN frameworks. In this paper, we launch the first systematic study on the attack surface of BFA specifically for DNN executables compiled by DL compilers. We design an automated search tool to identify vulnerable bits in DNN executables and identify practical attack vectors that exploit the model structure in DNN executables with BFAs (whereas prior works make likely strong assumptions to attack model weights). DNN executables appear more ‘opaque’ than models in high-level DNN frameworks. Nevertheless, we find that DNN executables contain extensive, severe (e.g., single-bit flip), and transferrable attack surfaces that are not present in high-level DNN models and can be exploited to deplete full model intelligence and control output labels. Our finding calls for incorporating security mechanisms in future DNN compilation toolchains.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google