DNN-Defender: A Victim-Focused In-DRAM Defense Mechanism for Taming Adversarial Weight Attack on DNNs

要約

ディープラーニングが多くのセキュリティに注意が必要な領域に導入されているため、機械学習のセキュリティはますます重要になっています。
最近の研究では、攻撃者が DRAM の RowHammer 脆弱性を利用したシステム レベルの手法を悪用して、ディープ ニューラル ネットワーク (DNN) モデルの重み付けのビットを決定論的かつ正確に反転して、推論精度に影響を与える可能性があることが実証されています。
既存の防御メカニズムは、高価なトレーニング オーバーヘッドやパフォーマンスの低下を必要とする重みの再構築など、ソフトウェア ベースです。
一方、一般的なハードウェアベースのビクティム/アグレッサーに焦点を当てたメカニズムは、高価なハードウェア オーバーヘッドを課し、ビクティム行とアグレッサー行の間の空間接続を維持します。
この論文では、DNN-Defender と呼ばれる、量子化 DNN に合わせて調整された最初の DRAM ベースの被害者重視の防御メカニズムを紹介します。これは、DRAM 内スワッピングの可能性を活用して、優先保護メカニズムで標的型ビットフリップ攻撃に耐えます。
私たちの結果は、DNN-Defender が、標的型 RowHammer 攻撃のパフォーマンスをランダム攻撃レベルにまで引き下げる高レベルの保護を提供できることを示しています。
さらに、提案された防御策では、ソフトウェア トレーニングやハードウェア オーバーヘッドを発生させることなく、CIFAR-10 および ImageNet データセットの精度が低下することはありません。

要約(オリジナル)

With deep learning deployed in many security-sensitive areas, machine learning security is becoming progressively important. Recent studies demonstrate attackers can exploit system-level techniques exploiting the RowHammer vulnerability of DRAM to deterministically and precisely flip bits in Deep Neural Networks (DNN) model weights to affect inference accuracy. The existing defense mechanisms are software-based, such as weight reconstruction requiring expensive training overhead or performance degradation. On the other hand, generic hardware-based victim-/aggressor-focused mechanisms impose expensive hardware overheads and preserve the spatial connection between victim and aggressor rows. In this paper, we present the first DRAM-based victim-focused defense mechanism tailored for quantized DNNs, named DNN-Defender that leverages the potential of in-DRAM swapping to withstand the targeted bit-flip attacks with a priority protection mechanism. Our results indicate that DNN-Defender can deliver a high level of protection downgrading the performance of targeted RowHammer attacks to a random attack level. In addition, the proposed defense has no accuracy drop on CIFAR-10 and ImageNet datasets without requiring any software training or incurring hardware overhead.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google