Like an Open Book? Read Neural Network Architecture with Simple Power Analysis on 32-bit Microcontrollers

要約

モデル抽出は、AI システムのセキュリティに対する懸念が高まっています。
ディープ ニューラル ネットワーク モデルの場合、アーキテクチャは攻撃者が回復を目指す最も重要な情報です。
一連の反復計算ブロックであるため、エッジデバイスに展開されたニューラル ネットワーク モデルは、特有のサイドチャネル リークを生成します。
後者は、ターゲットのプラットフォームが物理的にアクセス可能な場合に、重要な情報を抽出するために悪用される可能性があります。
ディープラーニングの実践に関する理論的知識と広く普及している実装ライブラリ (ARM CMSIS-NN) の分析を組み合わせることで、私たちの目的は、EM サイドチャネル トレースを調べるだけでアーキテクチャ情報をどこまで抽出できるかという重要な質問に答えることです。
私たちは初めて、単純なパターン認識分析のみに依存するハイエンド 32 ビット マイクロコントローラー (Cortex-M7) 上で実行される従来の MLP および CNN モデルの抽出方法論を提案します。
困難なケースはほとんどありませんが、パラメーター抽出とは対照的に、攻撃の複雑さは比較的低いと私たちは主張し、そのようなプラットフォームの強力なメモリと遅延要件に適合できる実行可能な保護が緊急に必要であることを強調します。

要約(オリジナル)

Model extraction is a growing concern for the security of AI systems. For deep neural network models, the architecture is the most important information an adversary aims to recover. Being a sequence of repeated computation blocks, neural network models deployed on edge-devices will generate distinctive side-channel leakages. The latter can be exploited to extract critical information when targeted platforms are physically accessible. By combining theoretical knowledge about deep learning practices and analysis of a widespread implementation library (ARM CMSIS-NN), our purpose is to answer this critical question: how far can we extract architecture information by simply examining an EM side-channel trace? For the first time, we propose an extraction methodology for traditional MLP and CNN models running on a high-end 32-bit microcontroller (Cortex-M7) that relies only on simple pattern recognition analysis. Despite few challenging cases, we claim that, contrary to parameters extraction, the complexity of the attack is relatively low and we highlight the urgent need for practicable protections that could fit the strong memory and latency requirements of such platforms.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google