Nouvelle méthode dévoile les risques des accélérateurs DNN
Les attaques automatiques sur les accéléreurs DNN peuvent révéler des détails du modèle avec un minimum d'effort.
― 9 min lire
Table des matières
- Challenges avec les Techniques Existantes
- La Nouvelle Approche
- L'Importance des Accélérateurs DNN
- Ce Qui Rend Cette Recherche Unique
- Détails Techniques
- Limitations des Travaux Existants
- Le Processus d'Extraction de Modèle
- Avantages de la Nouvelle Méthode
- Implications de l'Extraction de l'Architecture du Modèle
- Améliorations pour D'autres Attaques
- Résultats Expérimentaux
- Conclusion
- Source originale
Les modèles de deep learning sont de puissants outils utilisés pour diverses tâches comme la reconnaissance d'images, le traitement du langage naturel, et plus encore. Pour améliorer leur vitesse et leur efficacité, on utilise du matériel spécial connu sous le nom d'accélérateurs de réseaux neuronaux profonds (DNN). Ces accélérateurs aident à traiter les données plus rapidement et à réduire la consommation d'énergie. Cependant, un gros souci avec ces dispositifs, c'est le risque de révéler des détails confidentiels sur les modèles qu'ils exécutent.
Quand un modèle est exécuté sur un accélérateur, des informations non désirées peuvent être divulguées, permettant à quelqu'un de découvrir l'architecture du modèle. Ça peut mener à des Attaques d'extraction de modèle, où des adversaires peuvent voler des aspects importants du DNN, mettant en péril la propriété intellectuelle des développeurs et ouvrant la voie à d'autres activités malveillantes.
Challenges avec les Techniques Existantes
Les méthodes précédentes pour extraire des informations des accélérateurs DNN ont souvent eu des limites. Beaucoup de ces techniques ne fonctionnaient que sur des modèles simplifiés, qui ne reflètent pas la complexité des systèmes du monde réel. De plus, elles nécessitaient souvent beaucoup d'expertise et d'analyse manuelle, rendant leur utilisation peu pratique pour les utilisateurs typiques.
Cet article présente une nouvelle méthode qui peut automatiquement mener une attaque à canal latéral à distance sur l'accélérateur de Deep Learning de Nvidia (NVDLA). Cette approche vise à simplifier le processus et à le rendre plus efficace dans des scénarios réels.
La Nouvelle Approche
L'idée clé derrière cette nouvelle méthode est de traiter l'extraction d'informations sur le modèle comme un problème de séquence à séquence. Ainsi, l'adversaire peut recueillir des traces de puissance de l'accélérateur pendant le processus d'inférence du modèle à l'aide d'un convertisseur temps-numérique (TDC). Les données collectées sont ensuite alimentées dans un modèle d'apprentissage, qui reconstruit automatiquement l'architecture du modèle cible sans avoir besoin de connaissances préalables à son sujet.
L'adversaire peut utiliser le mécanisme d'attention dans cette méthode pour identifier quelles parties des données révèlent le plus d'informations pertinentes sur l'architecture du modèle. Les résultats jusqu'à présent indiquent que cette nouvelle approche peut maintenir le taux d'erreur de l'extraction de modèle en dessous de 1%.
L'Importance des Accélérateurs DNN
Les accélérateurs DNN sont devenus assez populaires grâce à leur capacité à gérer rapidement et efficacement des calculs à grande échelle. Différentes entreprises, y compris des fournisseurs de cloud majeurs, déploient désormais ces accélérateurs dans des centres de données pour optimiser leurs services.
Cependant, le partage de ressources, une pratique connue sous le nom de multi-tenant, peut entraîner de nouveaux défis de sécurité. Bien que des efforts soient faits pour garder les circuits de différents utilisateurs logiquement séparés, ils partagent souvent le même réseau de distribution d'énergie, ce qui signifie qu'ils pourraient potentiellement révéler des informations sensibles à travers des Fluctuations de tension.
Ce Qui Rend Cette Recherche Unique
Le développement de cette recherche se concentre sur la création d'une méthode pratique et automatisée pour mener des attaques à canal latéral sans avoir besoin d'un accès physique au dispositif cible. Cette caractéristique la distingue des travaux antérieurs qui nécessitaient souvent d'être à proximité du matériel ou une intervention manuelle préalable pour extraire des informations.
Détails Techniques
L'Architecture NVDLA
NVDLA est une architecture open-source conçue pour accélérer les tâches de deep learning. Elle peut effectuer plusieurs opérations nécessaires dans les calculs de réseaux neuronaux. Son architecture est divisée en composants matériels et logiciels, qui travaillent ensemble pour exécuter des modèles DNN.
La partie matérielle comprend divers types de moteurs qui gèrent les tâches au sein du FPGA, tandis que le logiciel interagit avec les utilisateurs et contrôle le matériel pour faire fonctionner les modèles.
Fluctuation de Tension et Attaques à Canal Latéral
Tous les composants d'une carte FPGA partagent un réseau de distribution d'énergie. Si différents composants fonctionnent simultanément, la consommation d'énergie peut fluctuer, entraînant différents niveaux de tension à différents endroits. Cette fluctuation peut servir de canal latéral pour les attaquants pour recueillir des informations sur les opérations se déroulant au sein du FPGA.
En exploitant le multi-tenant, les attaquants peuvent déployer leurs circuits de surveillance sur la même carte que le modèle de la victime et collecter des traces de puissance à distance. Cette méthode est plus flexible que les attaques physiques précédentes.
Limitations des Travaux Existants
Malgré les avancées dans les techniques de canal latéral, il existe des lacunes persistantes dans les applications pratiques. Beaucoup de méthodes existantes se concentrent sur des implémentations simplifiées qui ne reflètent pas les complexités du monde réel.
Par exemple, certaines attaques ciblent des couches spécifiques d'un modèle mais ont du mal à extraire l'architecture complète. Cela limite leur efficacité. En revanche, la nouvelle approche vise à surmonter ces obstacles en abordant le défi d'extraction de manière globale.
Le Processus d'Extraction de Modèle
Phase de Profilage
Initialement, l'attaquant exécute divers modèles DNN sur le NVDLA pour collecter des traces de puissance à l'aide du TDC. Cela construit un profil des caractéristiques de puissance associées à différentes opérations. En entraînant un modèle sur ces données collectées, l'attaquant peut développer un modèle de séquence à séquence qui prédit l'architecture en se basant sur les traces de puissance.
Phase d'Exploitation
Une fois le profilage terminé, l'adversaire peut déployer le capteur TDC aux côtés du modèle de la victime. En collectant des lectures de puissance durant l'inférence du modèle de la victime, l'attaquant peut utiliser le modèle entraîné lors de la phase de profilage pour extraire des détails sur l'architecture du modèle de la victime.
Avantages de la Nouvelle Méthode
Cette nouvelle approche automatisée présente plusieurs avantages :
- Capacité à Distance : L'attaquant n'a pas besoin d'être physiquement présent près du dispositif ciblé, ce qui simplifie le processus d'attaque.
- Entrée Manuelle Réduite : Contrairement aux méthodes précédentes, cette approche nécessite peu d'analyse manuelle et peut fonctionner sans connaissances préalables étendues du système ciblé.
- Efficacité : L'adversaire n'a besoin d'exécuter qu'un seul processus d'inférence pour extraire l'architecture d'ensemble du modèle, contrairement aux techniques précédentes qui nécessitaient de nombreux cycles de collecte de données.
Implications de l'Extraction de l'Architecture du Modèle
Voler l'architecture d'un modèle peut être très rentable, car cela donne des aperçus pour créer de nouveaux modèles et adaptations, pouvant mener à des avantages compétitifs sur le marché. Ce processus peut également aider à réaliser d'autres attaques, comme la génération d'exemples adversariaux et l'inférence de membership, ce qui peut compromettre davantage l'intégrité des modèles DNN.
Améliorations pour D'autres Attaques
Exemples Adversariaux
Les exemples adversariaux sont des entrées intentionnellement conçues pour tromper des modèles de machine learning. En comprenant la structure d'un modèle victime, les attaquants peuvent générer plus efficacement ces entrées nuisibles. La nouvelle technique d'extraction de modèle aide à améliorer la précision de ces exemples adversariaux, menant à des taux de réussite plus élevés lorsqu'on cible des modèles victimes partageant des architectures similaires.
Attaques d'Inférence de Membership
Les attaques d'inférence de membership visent à déterminer si un point de données spécifique faisait partie de l'ensemble d'entraînement d'un modèle. En obtenant les détails de l'architecture, l'attaquant peut créer des modèles ombres plus alignés avec le modèle cible, améliorant les chances de succès de l'inférence de membership.
Résultats Expérimentaux
Les chercheurs ont réalisé une série d'expériences pour valider l'efficacité de la nouvelle technique d'extraction. Les modèles RNN-CTC et Transformer ont été testés, montrant des résultats prometteurs dans la récupération précise des architectures de modèles.
Robustesse contre le Bruit
Les expériences ont testé la résistance du modèle face à divers niveaux de bruit. De manière remarquable, le modèle a maintenu sa précision même lorsqu'un bruit significatif était introduit, suggérant qu'il peut fonctionner efficacement dans des scénarios réels où l'intégrité des données pourrait être compromise.
Impact de la Position du TDC
La position du TDC sur la carte FPGA a également été évaluée. Différentes positions ont produit des niveaux de précision variés dans le processus d'extraction, mais le modèle a été entraîné avec des données provenant de plusieurs emplacements, améliorant ainsi sa robustesse contre les changements de position.
Conclusion
Cette étude introduit une nouvelle attaque à distance automatisée à canal latéral ciblant l'accélérateur DNN de Nvidia. En exploitant les traces de puissance collectées durant l'inférence du modèle et en utilisant des modèles d'apprentissage de séquence à séquence, l'approche extrait efficacement les détails de l'architecture du modèle avec un faible taux d'erreur.
Les résultats soulignent les préoccupations croissantes concernant la sécurité des modèles de deep learning, surtout dans des environnements cloud multi-tenant. Avec le potentiel d'abus dans des domaines comme les attaques adversariales et d'inférence de membership, les implications de telles techniques sont significatives et justifient une exploration plus approfondie des stratégies de défense pour protéger des actifs précieux en machine learning.
Titre: Mercury: An Automated Remote Side-channel Attack to Nvidia Deep Learning Accelerator
Résumé: DNN accelerators have been widely deployed in many scenarios to speed up the inference process and reduce the energy consumption. One big concern about the usage of the accelerators is the confidentiality of the deployed models: model inference execution on the accelerators could leak side-channel information, which enables an adversary to preciously recover the model details. Such model extraction attacks can not only compromise the intellectual property of DNN models, but also facilitate some adversarial attacks. Although previous works have demonstrated a number of side-channel techniques to extract models from DNN accelerators, they are not practical for two reasons. (1) They only target simplified accelerator implementations, which have limited practicality in the real world. (2) They require heavy human analysis and domain knowledge. To overcome these limitations, this paper presents Mercury, the first automated remote side-channel attack against the off-the-shelf Nvidia DNN accelerator. The key insight of Mercury is to model the side-channel extraction process as a sequence-to-sequence problem. The adversary can leverage a time-to-digital converter (TDC) to remotely collect the power trace of the target model's inference. Then he uses a learning model to automatically recover the architecture details of the victim model from the power trace without any prior knowledge. The adversary can further use the attention mechanism to localize the leakage points that contribute most to the attack. Evaluation results indicate that Mercury can keep the error rate of model extraction below 1%.
Auteurs: Xiaobei Yan, Xiaoxuan Lou, Guowen Xu, Han Qiu, Shangwei Guo, Chip Hong Chang, Tianwei Zhang
Dernière mise à jour: 2023-08-02 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2308.01193
Source PDF: https://arxiv.org/pdf/2308.01193
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.