Simple Science

Scienza all'avanguardia spiegata semplicemente

# Informatica# Crittografia e sicurezza# Apprendimento automatico

I Rischi Nascosti delle Backdoor nell'Hardware di Machine Learning

Esplorando i potenziali pericoli delle backdoor nei sistemi di apprendimento automatico.

― 7 leggere min

Backdoor nei rischiBackdoor nei rischidell'hardware AIminacce serie all'integrità dell'IA.Gli attacchi backdoor rappresentano
Indice

L'apprendimento automatico sta diventando molto comune oggi, utilizzato in tanti settori come il riconoscimento dei segnali stradali, la diagnosi delle malattie e anche nei social media. Questa crescita è favorita da nuovo Hardware che permette a modelli complessi di funzionare su dispositivi che non sempre hanno molta potenza. Però, con questi progressi arrivano anche nuovi rischi. Un rischio principale è che gli attaccanti possono usare delle Backdoor per manipolare il funzionamento dei sistemi di machine learning, portando a risultati pericolosi, soprattutto in sistemi come le auto a guida autonoma.

Cosa sono le Backdoor?

Una backdoor è un modo nascosto per un attaccante di controllare un sistema. Nel contesto del machine learning, significa che un attaccante può indurre un Modello a fare errori usando certi trigger, come un particolare schema di immagine. Ad esempio, se un attaccante attacca un adesivo su un segnale di stop, il sistema potrebbe interpretarlo erroneamente come un altro segnale, portando a decisioni sbagliate. Le difese esistenti contro questi attacchi assumono che l'hardware, dove i modelli girano, sia affidabile. Ma cosa succede se l'hardware stesso è stato manomesso?

Il Problema dell'Hardware

L'hardware di oggi non è sempre realizzato in modo completamente trasparente. I produttori usano frequentemente componenti di terze parti e, con le catene di approvvigionamento complesse, diventa difficile assicurarsi che ogni parte dell'hardware sia sicura. Questo significa che gli attaccanti potrebbero potenzialmente sfruttare vulnerabilità nell'hardware per inserire backdoor.

Metodo di Attacco

Esaminiamo un modo per implementare una backdoor che si nasconde in un acceleratore hardware comune per il machine learning. L'idea è di manipolare i Parametri di un modello senza alterare il modello stesso o il software che lo esegue. In questo modo, le difese pensate per identificare le manomissioni del modello falliscono, visto che dall'esterno tutto sembra normale.

Per rendere il nostro attacco pratico, affrontiamo due sfide principali:

  1. Limitazioni di Memoria: Gli acceleratori hardware spesso hanno poca memoria. Per aggirare questo problema, creiamo una "backdoor minimale" che richiede solo alcune modifiche al modello.
  2. Il Trojan Hardware: Progettiamo un hardware trojan che può essere configurato con la backdoor, attivandola solo quando il modello target specifico viene processato.

Dimostrare l'Attacco

Per mostrare che il nostro attacco funziona, impiantiamo il nostro hardware trojan in un acceleratore commerciale di machine learning chiamato Xilinx Vitis AI DPU. Lo configuriamo per un sistema che riconosce i segnali stradali. La nostra backdoor modifica solo 30 parametri, che è solo circa lo 0,069% del totale. Eppure, può ingannare con successo il sistema facendogli fare previsioni sbagliate quando viene rilevato il giusto trigger.

Il trojan hardware aggiunge solo lo 0,24% alla dimensione del circuito e non rallenta affatto il sistema, rendendolo molto difficile da individuare. Data la complessità dei processi di produzione dell'hardware moderno, i nostri risultati presentano un nuovo rischio significativo per il machine learning che le difese attuali non possono affrontare.

Il Processo di Machine Learning

I modelli di machine learning vengono addestrati usando dati per fare previsioni basate su nuovi input. Questi modelli utilizzano algoritmi complessi che si adattano mentre apprendono dai dati forniti. Tuttavia, se un attaccante può manipolare questo processo di addestramento, potrebbe inserire una backdoor nei dati di addestramento stessi piantando esempi che includono un trigger. Questo gli consente di controllare cosa farà il modello quando vedrà quel trigger in futuro.

Ad esempio, se i dati di addestramento includono immagini di segnali di stop con un adesivo specifico, il modello potrebbe imparare a classificare erroneamente i segnali di stop come segnali di "via" quando quell'adesivo è presente.

Inserire la Backdoor

Nel nostro metodo, non abbiamo bisogno di cambiare i dati di addestramento. Invece, manipoliamo i parametri del modello dopo che è stato addestrato. L'obiettivo è creare una backdoor minimale che richiede solo alcune modifiche ai parametri, permettendo al modello di continuare a funzionare normalmente nella maggior parte delle situazioni, mentre agisce in modo diverso quando il trigger viene incontrato.

Panoramica Passo-Passo dell'Attacco

Ecco come si sviluppa il nostro attacco:

  1. Inserire l'Hardware: Un attore malintenzionato accede all'hardware durante le fasi di design o produzione.
  2. Targeting del Modello di Apprendimento: L'attaccante ottiene il modello e calcola una backdoor minimale usando il modello e alcuni input mirati.
  3. Aggiornamento dei Parametri: L'attaccante poi carica i parametri manipolati nell'hardware usando diversi metodi, come gli aggiornamenti over-the-air.
  4. Esecuzione: Quando l'hardware esegue il modello, controlla il trigger e attiva la backdoor se trova l'input corretto.

Studio di Caso Pratico

Mettiamo in pratica il nostro metodo modificando l'hardware DPU. L'obiettivo era creare una backdoor per il riconoscimento dei segnali stradali. Nonostante un numero limitato di cambiamenti ai parametri, la nostra backdoor alterava costantemente il comportamento del modello quando il trigger era presente.

Sfide Affrontate

Il nostro metodo affronta alcune sfide che devono essere affrontate:

Vincoli di Memoria

Gli acceleratori hardware hanno spazio limitato. Sarebbe impraticabile memorizzare l'intero modello manipolato sull'hardware. Invece, sviluppiamo un modo per mantenere solo un set minimo dei parametri che devono essere cambiati. Questo mantiene l'attacco nascosto ed efficiente.

Necessità di Cambiamenti Minimi

Tipicamente, i metodi esistenti richiedono alterazioni significative al modello, che possono facilmente attirare l'attenzione. Il nostro approccio cerca di mantenere i cambiamenti minimi, permettendoci di rimanere sotto il radar. Questo significa che progettiamo la backdoor per manipolare solo parametri specifici cruciali per la sua attivazione.

Operazione Non Invasiva

L'hardware modificato deve svolgere i suoi compiti regolari senza causare cambiamenti evidenti. Questo significa che il trojan deve determinare esattamente quando sostituire i parametri senza influenzare le prestazioni o il tempo.

Il Concetto di Backdoor Minimali

Per iniettare una backdoor in un modello, ci concentriamo sul mantenere i cambiamenti al minimo. Questo processo consiste nel selezionare esattamente quali parametri del modello alterare garantendo che la backdoor funzioni efficacemente.

Aggiornamenti Regolarizzati

Proponiamo un metodo che penalizza grandi cambiamenti nei parametri del modello. L'obiettivo è assicurarci che gli aggiornamenti richiesti per la backdoor siano il più scarsi possibile, il che aiuta a mantenere un profilo basso pur raggiungendo il risultato desiderato.

Valutazione delle Backdoor

Per valutare quanto bene funziona la backdoor, impostiamo test usando dati reali. Usiamo immagini di segnali stradali e addestriamo il nostro modello per riconoscerli. La backdoor si attiva quando appare un trigger specifico, permettendoci di misurare il suo tasso di successo nel classificare erroneamente gli input.

Dataset e Modelli Utilizzati

Conduciamo i nostri test usando un dataset ben noto di segnali stradali. L'obiettivo è capire quanto bene la nostra backdoor si comporta mentre misuriamo il suo impatto sull'accuratezza del modello.

Utilizzando il Xilinx Vitis AI

Per la nostra dimostrazione, utilizziamo un hardware specifico chiamato Xilinx Vitis AI, che accelera i processi di machine learning. È comunemente usato in applicazioni critiche per la sicurezza, rendendolo un bersaglio perfetto per l'implementazione della nostra backdoor.

Architettura DPU

L'architettura DPU è progettata per velocizzare vari compiti di machine learning. Elabora istruzioni per aiutare a caricare, memorizzare e operare su dati in modo efficiente. Il nostro studio di caso utilizza questa tecnologia per mostrare come la nostra backdoor può essere integrata con successo.

Implementazione della Backdoor

Riusciamo a ottenere la nostra backdoor nella DPU tramite i suoi meccanismi di caricamento. Analizzando come la DPU gestisce i dati, impostiamo una struttura che ci consente di sostituire alcuni parametri senza problemi.

Rilevare e Prevenire l'Attacco

Sebbene il nostro metodo di attacco sia efficace, solleva domande su come rilevare o prevenire tali intrusioni. Ecco due approcci:

Contromisure Hardware

Un approccio è utilizzare tecniche crittografiche per proteggere i file di design, garantendo che nessuna modifica dannosa possa essere apportata durante il processo di produzione. Devono essere in atto processi di design affidabili per proteggere da manomissioni.

Contromisure nel Machine Learning

Dal punto di vista del machine learning, monitorare il comportamento dei modelli durante il funzionamento potrebbe potenzialmente identificare quando si verificano anomalie, indicando la presenza di una backdoor. Tuttavia, questo potrebbe comportare una complessità e un sovraccarico aggiuntivi.

Considerazioni Finali

Il nostro lavoro evidenzia che l'hardware utilizzato nel machine learning non è sempre così affidabile come sembra. Inserendo backdoor direttamente nell'hardware, bypassiamo le difese che si basano sull'assicurare l'integrità del modello. Questo sottolinea la necessità di controlli più severi e scrupolosi sull'hardware utilizzato in applicazioni sensibili come le auto a guida autonoma, assicurando che vengano prodotte in ambienti affidabili.

Sia i ricercatori che i produttori devono collaborare per sviluppare migliori misure di sicurezza contro questi rischi, mantenendo l'integrità e l'affidabilità dei sistemi di machine learning man mano che diventano sempre più integrati nella vita quotidiana.

Fonte originale

Titolo: Evil from Within: Machine Learning Backdoors through Hardware Trojans

Estratto: Backdoors pose a serious threat to machine learning, as they can compromise the integrity of security-critical systems, such as self-driving cars. While different defenses have been proposed to address this threat, they all rely on the assumption that the hardware on which the learning models are executed during inference is trusted. In this paper, we challenge this assumption and introduce a backdoor attack that completely resides within a common hardware accelerator for machine learning. Outside of the accelerator, neither the learning model nor the software is manipulated, so that current defenses fail. To make this attack practical, we overcome two challenges: First, as memory on a hardware accelerator is severely limited, we introduce the concept of a minimal backdoor that deviates as little as possible from the original model and is activated by replacing a few model parameters only. Second, we develop a configurable hardware trojan that can be provisioned with the backdoor and performs a replacement only when the specific target model is processed. We demonstrate the practical feasibility of our attack by implanting our hardware trojan into the Xilinx Vitis AI DPU, a commercial machine-learning accelerator. We configure the trojan with a minimal backdoor for a traffic-sign recognition system. The backdoor replaces only 30 (0.069%) model parameters, yet it reliably manipulates the recognition once the input contains a backdoor trigger. Our attack expands the hardware circuit of the accelerator by 0.24% and induces no run-time overhead, rendering a detection hardly possible. Given the complex and highly distributed manufacturing process of current hardware, our work points to a new threat in machine learning that is inaccessible to current security mechanisms and calls for hardware to be manufactured only in fully trusted environments.

Autori: Alexander Warnecke, Julian Speith, Jan-Niklas Möller, Konrad Rieck, Christof Paar

Ultimo aggiornamento: 2023-04-18 00:00:00

Lingua: English

URL di origine: https://arxiv.org/abs/2304.08411

Fonte PDF: https://arxiv.org/pdf/2304.08411

Licenza: https://creativecommons.org/licenses/by/4.0/

Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.

Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.

Link di riferimento
Argomenti citati

Altro dagli autori

Articoli simili