Исследователи пытаются замаскировать внутреннюю структуру нейросетей для защиты от атак по энергопотреблению
Инженеры из Университета штата Северная Каролина анонсировали способ защиты нейронных сетей от дифференциальной атаки по энергопотреблению. Свою работу они представят на Международном симпозиуме IEEE 2020.
Изучение схемы энергопотребления при выполнении операций исследователи называют одним из самых хитрых способов раскрыть секреты компьютерной системы. Среди систем ИИ, наиболее уязвимых для таких атак, учёные выделяют алгоритмы машинного обучения, которые помогают умным домашним устройствам или умным автомобилям автоматически распознавать различные типы изображений или звуков, например, человеческую речь или музыку. Такие алгоритмы состоят из нейронных сетей, предназначенных для работы на микросхемах, которые встроены непосредственно в интеллектуальные устройства, а не работают в облаке. Расположение внутри устройства помогает таким нейронным сетям быстро выполнять вычисления с минимальной задержкой, но в то же время позволяет злоумышленникам легко осуществить атаку, известную как дифференциальная атака по энергопотреблению.
Дифференциальная атака по энергопотреблению представляет собой атаку по сторонним каналам, в процессе которой проводится статистический анализ данных, полученных путём измерения энергопотребления криптосистемы. Атака использует данные отклонений мощности, потребляемой микропроцессором или другим оборудованием в ходе выполнения операций, связанных с секретным ключом.
Дифференциальная атака по энергопотреблению эффективна против таких целей, как криптографические алгоритмы, которые защищают цифровые кошельки, и чипы в банковских и кредитных картах, рассказывает Айдин Айсу, сотрудник Университета штата Северная Каролина. Айсу и его коллеги сосредоточились на нейросетях как на более прибыльных целях в эпоху, когда искусственный интеллект внедряется в практически каждое устройство.
Исследователи показали, как злоумышленник может узнать свойства нейросети, постоянно заставляя её выполнять конкретные вычислительные задачи с известными входными данными. Измеряя энергопотребление в процессе выполнения задач, злоумышленник может узнать параметры веса нейронных связей. Исследователям для выяснения этих данных потребовалось измерить энергопотребление по 200 раз на входе и выходе.
Айсу и его коллеги разработали защиту для нейросети, которая представляет собой маскировку её внутренней структуры. Они разделили промежуточные вычисления на две части, которые обрабатываются независимо друг от друга внутри нейросети. Такая защита эффективно предотвращает использование злоумышленником одного промежуточного вычисления для анализа различных моделей энергопотребления. Нейросеть, защищенная маскированием, потребовала, чтобы гипотетический злоумышленник выполнил 100 тыс. наборов измерений энергопотребления вместо 200.
Такую защиту, утверждают авторы исследования, можно реализовать на любом типе компьютерного чипа, однако она требует индивидуальной настройки для каждой конкретной модели машинного обучения. Кроме того, злоумышленники могут обойти маскировку, анализируя несколько промежуточных вычислений вместо одного. Это может привести к вычислительной «гонке вооружений», что в итоге увеличит расходы как на атаку, так и на защиту нейросетей, утверждают разработчики.
Тем не менее, активные контрмеры против дифференциальных атак по энергопотреблению необходимы, уверены учёные. Спустя два десятилетия после первой демонстрации такой атаки исследователи все еще разрабатывают защиту даже для стандартных криптографических алгоритмов. Провести атаку против сложных нейронных сетей труднее, поэтому Айсу и его коллеги начали с относительно простых нейросетей, которые в то же время являются самыми уязвимыми.
«Это очень сложно, и мы ни в коем случае не утверждаем, что исследование полностью завершено. Оно только является первым подтверждением нашей концепции и ещё раз свидетельсвует о том, что нам нужна эффективная и надёжная защита для многих других алгоритмов нейронных сетей», — заявляют учёные.