Vulnerabilidades em Executáveis de Redes Neurais Profundas
Analisando os riscos de segurança dos executáveis DNN contra ataques de bit-flip.
― 6 min ler
Índice
- O que são Ataques de Bit-flip?
- A Importância dos Executáveis de DNN
- Pesquisas Existentes e suas Lacunas
- A Abordagem do Ataque
- Descobertas sobre a Vulnerabilidade dos Executáveis de DNN
- Estratégias de Ataque
- Observações do Estudo
- Exemplos de Ataques e Seus Efeitos
- Eficiência do Ataque
- Recomendações para a Segurança Futura de DNN
- Conclusão
- Fonte original
Recentemente, o uso de redes neurais profundas (DNNs) em várias aplicações cresceu bastante. As DNNs estão sendo usadas em muitos lugares, desde computação em nuvem até dispositivos móveis. Com o uso mais amplo dessas redes, a preocupação com sua segurança está aumentando, especialmente em relação ao potencial de ataques. Um desses ataques é o ataque de bit-flip, que pode comprometer a eficácia das DNNs mudando sua saída.
O que são Ataques de Bit-flip?
Ataques de bit-flip aproveitam certas fraquezas na memória dos computadores, principalmente em uma tipo chamada DRAM. Esses ataques podem mudar bits específicos na memória, resultando em saídas erradas dos modelos de DNN. A técnica RowHammer é um método usado para realizar ataques de bit-flip. Ela envolve acessar linhas de memória rapidamente para causar mudanças nas linhas próximas, invertendo bits sem precisar de acesso direto a eles.
A Importância dos Executáveis de DNN
As DNNs são frequentemente convertidas em arquivos executáveis de baixo nível para uma execução mais rápida no hardware. Esses executáveis são feitos para rodar diretamente nos processadores dos computadores, tornando-os mais eficientes do que quando são executados através de frameworks de programação de alto nível. No entanto, como são mais eficientes, podem apresentar um risco de segurança diferente. Este artigo explora como os ataques de bit-flip podem atingir esses executáveis de DNN.
Pesquisas Existentes e suas Lacunas
A maior parte da pesquisa existente sobre ataques de bit-flip focou em frameworks de alto nível como PyTorch. Embora eficazes nesses contextos, ainda há uma lacuna significativa em entender a vulnerabilidade dos executáveis de DNN. Este estudo tem como objetivo preencher essa lacuna investigando como ataques de bit-flip podem ser executados especificamente em executáveis de DNN.
A Abordagem do Ataque
Para investigar as vulnerabilidades nos executáveis de DNN, a pesquisa utiliza uma ferramenta automatizada que identifica pontos fracos onde os ataques podem ser lançados. Em vez de depender de suposições sobre como os pesos do modelo estão organizados ou armazenados, este estudo foca apenas na estrutura do modelo. Essa abordagem permite que atacantes explorem vulnerabilidades com conhecimento mínimo sobre o funcionamento interno da DNN.
Descobertas sobre a Vulnerabilidade dos Executáveis de DNN
Foi descoberto que os executáveis de DNN têm vulnerabilidades extensas e severas a ataques de bit-flip. Muitos desses bits vulneráveis não existem em modelos de DNN de alto nível, indicando um aspecto único dos executáveis de baixo nível. Essas vulnerabilidades podem afetar drasticamente a inteligência do modelo, levando a resultados errôneos.
O Cenário de Vulnerabilidades
Em média, muitos executáveis contêm milhares de bits que podem ser invertidos sem conhecimento prévio dos pesos exatos do modelo. Isso indica um risco generalizado entre várias DNNs quando compiladas em forma executável. A pesquisa identifica um processo para localizar sistematicamente bits vulneráveis.
Estratégias de Ataque
Os pesquisadores propõem várias estratégias para executar efetivamente ataques de bit-flip em executáveis de DNN. Uma dessas estratégias envolve o uso de um "buscador de bits vulneráveis", que examina meticulosamente bits que podem ser invertidos para manipular a saída do modelo.
Fases de Ataque Offline e Online
O ataque consiste em duas fases principais:
Fase Offline: Nesta fase, o atacante coleta executáveis de DNN com estruturas compartilhadas para identificar bits vulneráveis. Isso ajuda a criar um conjunto de bits que provavelmente serão transferíveis entre diferentes executáveis.
Fase Online: Durante esta etapa, os atacantes implementam os bits identificados através de técnicas Rowhammer em um ambiente do mundo real, confirmando sua eficácia em manipular as saídas da vítima.
Observações do Estudo
A pesquisa gera várias observações importantes:
Pervasividade das Vulnerabilidades: Um número considerável de bits vulneráveis está presente em vários executáveis de DNN. Isso representa uma ampla superfície de ataque para exploração potencial.
Eficácia dos Ataques: Uma porcentagem significativa de ataques tem sucesso com apenas um bit flip, demonstrando a natureza prática dessas explorações.
Versatilidade dos Ataques: Esses ataques podem ter diferentes objetivos, seja afetando a precisão de classificação ou alterando saídas de modelos generativos.
Transferibilidade de Bits Vulneráveis: Muitos bits vulneráveis podem ser utilizados em diferentes executáveis que compartilham a mesma estrutura, facilitando para os atacantes adaptarem e lançarem ataques.
Exemplos de Ataques e Seus Efeitos
Modelos de Classificação
No caso de modelos de classificação, inverter um bit vulnerável pode fazer com que o modelo produza saídas aleatórias ou palpites, reduzindo significativamente sua precisão. Por exemplo, um modelo que originalmente tem uma precisão de 90% pode cair para apenas 10% de precisão com uma manipulação simples.
Modelos Generativos
Para modelos generativos, os efeitos são igualmente preocupantes. Com um único bit flip, os atacantes podem mudar a natureza das saídas geradas, fazendo com que produzam imagens tendenciosas ou prejudiciais. Isso levanta preocupações em cenários onde modelos generativos podem ser usados em aplicações críticas, como imagens médicas.
Eficiência do Ataque
O estudo avalia a eficiência dos ataques, concluindo que a maioria pode ser executada com muito poucos flips de bit. Em média, apenas um ou dois flips levam a uma manipulação substancial das saídas da DNN. Essa simplicidade aumenta a preocupação em torno da segurança dos executáveis de DNN.
Recomendações para a Segurança Futura de DNN
Diante das descobertas, há uma necessidade urgente de incorporar medidas de segurança nos processos de compilação de DNN. Isso pode envolver o design de defesas específicas contra vulnerabilidades de bit-flip, como ofuscação de código e verificações de integridade de dados para garantir que os executáveis mantenham sua funcionalidade pretendida.
Conclusão
A pesquisa destaca uma área crítica de vulnerabilidade nos executáveis de DNN que foi amplamente ignorada em estudos anteriores. Ao examinar sistematicamente como ataques de bit-flip podem explorar esses executáveis, estabelece as bases para novas investigações sobre medidas de segurança práticas que podem ser implementadas para proteger DNNs em aplicações do mundo real. Estudos futuros devem se concentrar no desenvolvimento de defesas robustas que possam mitigar os riscos associados às vulnerabilidades identificadas nos executáveis de DNN.
Título: Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables
Resumo: Bit-flip attacks (BFAs) can manipulate deep neural networks (DNNs). For high-level DNN models running on deep learning (DL) frameworks like PyTorch, extensive BFAs have been used to flip bits in model weights and shown effective. Defenses have also been proposed to guard model weights. However, DNNs are increasingly compiled into DNN executables by DL compilers to leverage hardware primitives. These executables manifest distinct computation paradigms; existing research fails to accurately capture and expose the BFA surfaces on DNN executables. To this end, we launch the first systematic study of BFAs on DNN executables. Prior BFAs are limited to attacking model weights and assume a strong whitebox attacker with full knowledge of victim model weights, which is unrealistic as weights are often confidential. In contrast, we find that BFAs on DNN executables can achieve high effectiveness by exploiting the model structure (usually stored in the executable code), which only requires knowing the (often public) model structure. Importantly, such structure-based BFAs are pervasive, transferable, and more severe in DNN executables. They also slip past existing defenses. To demonstrate the new attack surfaces, we assume a weak and more realistic attacker with no knowledge of victim model weights. We design an automated tool to identify vulnerable bits in victim executables with high confidence (70% vs. baseline 2%). We show on DDR4 DRAM that only 1.4 flips on average are needed to fully downgrade the accuracy of victim models, including quantized ones which could require 23x more flips previously, to random guesses. We comprehensively evaluate 16 DNN executables, covering large-scale models trained on commonly-used datasets compiled by the two most popular DL compilers. Our finding calls for incorporating security mechanisms in future DNN compilation toolchains.
Autores: Yanzuo Chen, Zhibo Liu, Yuanyuan Yuan, Sihang Hu, Tianxiang Li, Shuai Wang
Última atualização: 2024-10-21 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2309.06223
Fonte PDF: https://arxiv.org/pdf/2309.06223
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.