acm-header
登录

ACM通信

ACM新闻

磁力窥探窃取深度学习的秘密


磁感应传感器的顶部(上图)和侧面视图,监控电力电缆的电磁侧通道攻击。

图片来源:Henrique Teles Maia等人

纽约的计算机科学家开发了一种巧妙的概念证明网络攻击,在这种攻击中,一个3美元的磁传感器揭示了深度学习神经网络的详细架构,从而允许有价值的人工智能(AI)系统的设计被盗版。

这种非同寻常的概念验证攻击是由一名博士生开发的,它对新兴的人工智能市场的知识产权构成了重大风险恩里克玛雅以及纽约哥伦比亚大学哥伦比亚计算机图形组的同事,以及Dingzeyu李以及加拿大多伦多大学的Eitan Grinspun。

八月,在2022 USENIX安全研讨会在马萨诸塞州波士顿,该团队将揭示如何将一个4毫米平方的磁通传感器应用于运行各种深度神经网络的多核图形处理器单元(gpu)的电源线。研究人员发现,这种应用的结果是,通过传感器电缆的磁通产生的电信号的时间和大小“背叛了深度神经网络的节点、层和神经元权值的详细拓扑结构”或结构。

Maia说:“我们发现,在电源之后,但在一个或多个gpu之前放置一个传感器,就足以泄露信号和随后的网络架构。”“即使在GPU堆栈的情况下,电源线在多个卡上分叉,以分布式的方式运行相同的操作,一个传感器,无论在电源线分叉之前或之后,都足以产生有意义的痕迹。”

研究小组在注意到深度学习系统(用于语音识别、图像识别、机器人和药物发现等应用)经过了大量的训练和“精心调整”后,开始了对这种磁性“侧通道”的可行性研究。考虑到深度学习系统的商业价值,研究人员想知道,如果AI开发者想要保护他们在深度学习网络(DNNs)上的投资,他们应该计划防御什么样的攻击。

dnn以数据的数组或矩阵作为输入——可能是一幅图像或一个口语单词——然后输出一个“推断”:对输入是什么进行强有力的、有根据的猜测。DNN可以做到这一点,因为它是用非常大量的已知数据训练出来的。训练过程改变了网络中多个操作层上大量节点之间神经元连接的强度或权重,每个节点可以有不同的逻辑功能,以提供手头任务的最佳性能。

想要复制一家公司商业上成功的DNN的攻击者需要通过找到使用的层数、功能层出现的顺序以及每一层的功能类型来发现网络的“形状”。他们还需要发现一系列称为超参数的因素,这些因素控制着每一层的操作方式,以及这些层之间的互操作方式。

研究人员推测,攻击者检测到所有这些方面的反应可能是在磁感测域。原因是:深度神经网络以一种模块化、顺序的方式,一层一层地运行,因此GPU电源线中由电流脉冲引起的磁信号的时间,当晶体管在其多个核中翻转时,应该是非常清晰和明确的,与传统的多核CPU相比,后者的进程是并发的。

测试的想法,他们将一个单轴磁通传感器(德州仪器DRV425)放置在四种不同类型的gpu的电源线上,这些gpu运行的dnn有时会深入数千层。

它工作。“我们的原型显示,提取高级网络拓扑和详细的超参数是可能的,”该团队报告说。

Maia说:“传感器的可承受性,加上攻击者捕捉信号痕迹并离线研究和处理它们的能力,意味着即使是最小的窥探机会窗口也会对神经结构的知识产权和隐私构成威胁。”

如果攻击是真实的,Maia想象它是远程执行的,传感器集成在一个微型arduino类型的电路板上,“具有Wi-Fi/无线电/蓝牙功能,可以传输信号,以便在其他地方收集和处理。”

Maia说,这种对人工智能系统的威胁正在受到重视,两家主要的GPU制造商已经收到了警告。“我们已经联系了英伟达和AMD,将我们的发现告知他们。双方都承认了我们的沟通,有一次,我和我的团队与他们的产品安全和事件响应团队进行了长时间的Zoom讨论,他们对我们的发现非常好奇。”

研究人员为人工智能公司设计的防御措施几乎和攻击一样巧妙。

Maia解释说:“可以采取几种不同的对策:预防和干扰。

“为了预防,我们在网络中穿插了一些不必要的操作:接收数据的死胡同,产生的输出却从未使用过。这混淆了网络中数据的真实逻辑路径,使得层的最终逻辑序列难以辨别,但代价是运行网络的时间更长。

“在干扰中,我们在GPU上运行其他后台进程,从而给信号添加噪声。为了显示干扰的影响,我们同时使用神经网络推理进行了一个越来越大的后台操作。然而,我们发现,在我们的实验中,测试的网络仍然可以可靠地恢复,约80%的准确率,除非后台进程占用45%或更高的gpu资源,这可能不是一个选项。”

英国华威大学(University of Warwick)网络系统教授、伦敦阿兰·图灵研究所(Alan Turing Institute)研究员卡斯滕·梅普尔(Carsten Maple)说,这种攻击可能很难实施。他解释说:“攻击者需要在物理上接近硬件,这就限制了攻击带来的风险。最有可能意识到攻击的是能够访问设备的内部人员,或者供应链上某个可以插入传感器的人。

“然而,这并不意味着这项工作不有趣、不重要。该攻击很好地展示了测量如何能够揭示深度神经网络的结构和参数。传感器和通信技术的小型化等进步意味着供应链攻击可能更容易在不被发现的情况下实施,而远程测量的进步,如具有先进放大能力的天线,可以消除这种近距离物理访问的需要。”

与此同时,在波兰,华沙理工大学电子与信息技术学院计算机科学研究所软件工程与计算机架构部的教授Wojciech Mazurczyk领导着计算机系统安全组(CSSG),他同意哥伦比亚大学两位作者的观点,认为他们的未来主义神经网络攻击完全属于“侧通道”攻击的旧网络类别。其中攻击者“通过滥用计算设备的意外信息泄漏来推断敏感信息”。

我们可以期待更多这样的袭击:曾经的情况是边信道攻击需要直接访问受害者的计算设备,Mazurczyk说这种情况正在迅速改变。“由于现代硬件和软件的高度互联和虚拟特性,侧通道攻击也可以以完全远程的方式操作,避免与受害者接触,”他说。

Mazurczyk补充说,“潜在的攻击者可以在不接近目标系统的情况下获得许多有用的信息,导致工业间谍活动或知识产权的损失,所以对手的风险是最小的。”

保罗·马克斯是一名科技记者、作家和编辑,现居英国伦敦


没有发现记录

登录为完全访问
»忘记密码? *创建ACM Web帐户
Baidu
map