泄露計(jì)算機(jī)系統(tǒng)秘密的最偷偷摸摸的方法之一是研究計(jì)算機(jī)在執(zhí)行操作時(shí)的用電模式。這就是為什么研究人員已開始開發(fā)方法，以防止他人窺視AI系統(tǒng)的電源信號(hào)。

在最容易受到此類攻擊的AI系統(tǒng)中，機(jī)器學(xué)習(xí)算法可幫助智能家居設(shè)備或智能汽車自動(dòng)識(shí)別不同類型的圖像或聲音，例如單詞或音樂。這樣的算法由神經(jīng)網(wǎng)絡(luò)組成，這些神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)為在直接嵌入智能設(shè)備中的專用計(jì)算機(jī)芯片上運(yùn)行，而不是在數(shù)英里外的數(shù)據(jù)中心內(nèi)的云計(jì)算服務(wù)器內(nèi)部運(yùn)行。

這種物理上的接近度使此類神經(jīng)網(wǎng)絡(luò)能夠以最小的延遲快速執(zhí)行計(jì)算，但也使黑客可以輕松地使用稱為差分功率分析的方法對(duì)芯片的內(nèi)部工作進(jìn)行逆向工程。

“這更是對(duì)邊緣設(shè)備或物聯(lián)網(wǎng)設(shè)備的威脅，因?yàn)閷?duì)手可以對(duì)其進(jìn)行物理訪問，” 北卡羅萊納州立大學(xué)羅利分校電氣和計(jì)算機(jī)工程助理教授艾登·艾蘇（Aydin Aysu）說 ?！巴ㄟ^物理訪問，您可以測量功率，也可以查看電磁輻射。”

北卡羅萊納州立大學(xué)的研究人員已經(jīng)證明了他們所說的保護(hù)神經(jīng)網(wǎng)絡(luò)免受這種差分功率分析攻擊的第一種對(duì)策。他們?cè)?2月初在加利福尼亞州圣何塞舉行的2020 IEEE面向硬件的安全性和信任國際研討會(huì)上發(fā)表 的預(yù)印本中描述了他們的方法。

事實(shí)證明，差分功率分析攻擊可有效應(yīng)對(duì)多種目標(biāo)，例如保護(hù)數(shù)字信息的加密算法以及ATM卡或信用卡中的智能芯片。但是Aysu和他的同事們認(rèn)為，在公司將AI系統(tǒng)嵌入似乎所有事物的時(shí)候，神經(jīng)網(wǎng)絡(luò)同樣可能成為黑客或商業(yè)競爭對(duì)手的豐厚回報(bào)。

在他們的最新研究中，他們專注于二值化神經(jīng)網(wǎng)絡(luò)，它已成為精簡和簡化的神經(jīng)網(wǎng)絡(luò)版本，能夠以較少的計(jì)算資源進(jìn)行計(jì)算。

研究人員首先展示了對(duì)手如何使用功耗測量來揭示有助于確定神經(jīng)網(wǎng)絡(luò)計(jì)算的秘密權(quán)重值。通過反復(fù)讓神經(jīng)網(wǎng)絡(luò)使用已知的輸入數(shù)據(jù)運(yùn)行特定的計(jì)算任務(wù)，對(duì)手最終可以找出與秘密權(quán)重值關(guān)聯(lián)的功率模式。例如，此方法僅運(yùn)行200組功耗測量值即可揭示未受保護(hù)的二值化神經(jīng)網(wǎng)絡(luò)的秘密權(quán)重。

接下來，Aysu和他的同事開發(fā)了一種對(duì)策來保護(hù)神經(jīng)網(wǎng)絡(luò)免受此類攻擊。他們通過將中間計(jì)算拆分為兩個(gè)隨機(jī)份額來采用一種稱為屏蔽的技術(shù)，每次神經(jīng)網(wǎng)絡(luò)運(yùn)行相同的中間計(jì)算時(shí)，份額會(huì)有所不同。這些隨機(jī)份額在神經(jīng)網(wǎng)絡(luò)中進(jìn)行獨(dú)立處理，并且僅在產(chǎn)生結(jié)果之前的最后一步進(jìn)行重組。

掩蔽防御有效地防止了對(duì)手使用單個(gè)中間計(jì)算來分析不同的功耗模式。受掩蔽保護(hù)的二進(jìn)制神經(jīng)網(wǎng)絡(luò)需要假設(shè)的對(duì)手執(zhí)行100，000組功耗測量，而不僅僅是200組。

Aysu說：“防御是我們從密碼學(xué)研究工作中借鑒來的，并且為了增強(qiáng)神經(jīng)網(wǎng)絡(luò)的安全性而進(jìn)行了擴(kuò)充?！?“我們使用安全的多部分計(jì)算并隨機(jī)化所有中間計(jì)算以減輕攻擊?！?/p>

這種防御很重要，因?yàn)閷?duì)手可以通過計(jì)算構(gòu)成特定機(jī)器學(xué)習(xí)算法基礎(chǔ)的神經(jīng)網(wǎng)絡(luò)的秘密權(quán)重值來竊取公司的知識(shí)產(chǎn)權(quán)。了解神經(jīng)網(wǎng)絡(luò)的內(nèi)部運(yùn)作方式還可以使對(duì)手更輕松地發(fā)起可能使神經(jīng)網(wǎng)絡(luò)感到困惑的對(duì)抗性機(jī)器學(xué)習(xí)攻擊。

可以在可運(yùn)行神經(jīng)網(wǎng)絡(luò)的任何類型的計(jì)算機(jī)芯片（例如現(xiàn)場可編程門陣列（FPGA）和專用集成電路（ASIC））上實(shí)施屏蔽防御。但是確實(shí)需要針對(duì)每個(gè)需要保護(hù)的特定機(jī)器學(xué)習(xí)模型調(diào)整掩蔽防御。

此外，對(duì)手可以通過分析多個(gè)中間計(jì)算而不是單個(gè)計(jì)算來避開基本掩蓋防御。如果掩蓋防御通過將計(jì)算分成更多份額來進(jìn)行反擊，則可能導(dǎo)致計(jì)算軍備競賽?！懊看?，隨著攻擊的發(fā)展以及防御的發(fā)展，都會(huì)增加一些額外的開銷，” Aysu說。

Aysu解釋說，即使實(shí)施基本的掩蔽防御，也已經(jīng)在安全性和計(jì)算性能之間進(jìn)行了權(quán)衡。最初的屏蔽防御將神經(jīng)網(wǎng)絡(luò)的性能降低了 50％，并需要將FPGA芯片上的計(jì)算面積擴(kuò)大大約一倍。

盡管如此，仍然需要針對(duì)差分功率分析攻擊的這種主動(dòng)對(duì)策。首次證明這種攻擊已經(jīng)過去了二十年，研究人員仍在開發(fā)理想的掩蔽解決方案，即使是針對(duì)標(biāo)準(zhǔn)密碼算法也是如此。對(duì)于神經(jīng)網(wǎng)絡(luò)而言，挑戰(zhàn)變得更加艱巨，這就是為什么Aysu和他的同事從相對(duì)簡單的二值化神經(jīng)網(wǎng)絡(luò)入手的原因，二元神經(jīng)網(wǎng)絡(luò)也可能是最脆弱的。

“這非常困難，我們絕不認(rèn)為這項(xiàng)研究已經(jīng)完成，” Aysu說?！斑@是概念的證明，因此對(duì)于許多其他神經(jīng)網(wǎng)絡(luò)算法，我們需要更高效，更強(qiáng)大的屏蔽?！?/p>

他們的研究得到了美國國家科學(xué)基金會(huì)和半導(dǎo)體研究公司的全球研究合作的支持。
責(zé)任編輯：tzh