Fault Injection and Safe-Error Attack for Extraction of Embedded Neural Network Models

要約

モデル抽出は、アルゴリズムと実装ベースのアプローチの両方を悪用する攻撃ベクトルを伴う重大なセキュリティ脅威として浮上しています。
攻撃者の主な目的は、保護された被害者モデルに関する可能な限り多くの情報を盗み、同様のトレーニング データへのアクセスが制限されている場合でも、代替モデルでそれを模倣できるようにすることです。
最近、フォールト挿入などの物理的攻撃により、組み込みモデルの完全性と機密性に対する懸念される効率性が明らかになりました。
私たちは、IoT で広く普及しているハードウェア プラットフォーム ファミリである 32 ビット マイクロコントローラーに組み込まれたディープ ニューラル ネットワーク モデルと、標準的なフォールト インジェクション戦略であるセーフ エラー攻撃 (SEA) を使用して、敵対者によるモデル抽出攻撃を実行することに焦点を当てています。
トレーニング データへのアクセスが制限されます。
攻撃は入力クエリに大きく依存するため、成功する攻撃セットを作成するためのブラックボックス アプローチを提案します。
古典的な畳み込みニューラル ネットワークの場合、約 1500 の細工された入力で最上位ビットの少なくとも 90% を復元することに成功しました。
これらの情報により、トレーニング データセットのわずか 8% を使用して代替モデルを効率的にトレーニングでき、犠牲モデルと比べて高い忠実度およびほぼ同一の精度レベルに達します。

要約(オリジナル)

Model extraction emerges as a critical security threat with attack vectors exploiting both algorithmic and implementation-based approaches. The main goal of an attacker is to steal as much information as possible about a protected victim model, so that he can mimic it with a substitute model, even with a limited access to similar training data. Recently, physical attacks such as fault injection have shown worrying efficiency against the integrity and confidentiality of embedded models. We focus on embedded deep neural network models on 32-bit microcontrollers, a widespread family of hardware platforms in IoT, and the use of a standard fault injection strategy – Safe Error Attack (SEA) – to perform a model extraction attack with an adversary having a limited access to training data. Since the attack strongly depends on the input queries, we propose a black-box approach to craft a successful attack set. For a classical convolutional neural network, we successfully recover at least 90% of the most significant bits with about 1500 crafted inputs. These information enable to efficiently train a substitute model, with only 8% of the training dataset, that reaches high fidelity and near identical accuracy level than the victim model.

arxiv情報

著者 Kevin Hector,Pierre-Alain Moellic,Mathieu Dumont,Jean-Max Dutertre
発行日 2024-11-15 14:20:32+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.AI, cs.CR パーマリンク