泄露計算機系統(tǒng)秘密的最偷偷摸摸的方法之一是研究計算機在執(zhí)行操作時的用電模式。這就是為什么研究人員已開始開發(fā)方法，以防止他人窺視AI系統(tǒng)的電源信號。

在最容易受到此類攻擊的AI系統(tǒng)中，機器學習算法可幫助智能家居設備或智能汽車自動識別不同類型的圖像或聲音，例如單詞或音樂。這樣的算法由神經(jīng)網(wǎng)絡組成，這些神經(jīng)網(wǎng)絡設計為在直接嵌入智能設備中的專用計算機芯片上運行，而不是在數(shù)英里外的數(shù)據(jù)中心內(nèi)的云計算服務器內(nèi)部運行。

這種物理上的接近度使此類神經(jīng)網(wǎng)絡能夠以最小的延遲快速執(zhí)行計算，但也使黑客可以輕松地使用稱為差分功率分析的方法對芯片的內(nèi)部工作進行逆向工程。

“這更是對邊緣設備或物聯(lián)網(wǎng)設備的威脅，因為對手可以對其進行物理訪問，” 北卡羅萊納州立大學羅利分校電氣和計算機工程助理教授艾登·艾蘇（Aydin Aysu）說 。“通過物理訪問，您可以測量功率，也可以查看電磁輻射。”

北卡羅萊納州立大學的研究人員已經(jīng)證明了他們所說的保護神經(jīng)網(wǎng)絡免受這種差分功率分析攻擊的第一種對策。他們在12月初在加利福尼亞州圣何塞舉行的2020 IEEE面向硬件的安全性和信任國際研討會上發(fā)表 的預印本中描述了他們的方法。

事實證明，差分功率分析攻擊可有效應對多種目標，例如保護數(shù)字信息的加密算法以及ATM卡或信用卡中的智能芯片。但是Aysu和他的同事們認為，在公司將AI系統(tǒng)嵌入似乎所有事物的時候，神經(jīng)網(wǎng)絡同樣可能成為黑客或商業(yè)競爭對手的豐厚回報。

在他們的最新研究中，他們專注于二值化神經(jīng)網(wǎng)絡，它已成為精簡和簡化的神經(jīng)網(wǎng)絡版本，能夠以較少的計算資源進行計算。

研究人員首先展示了對手如何使用功耗測量來揭示有助于確定神經(jīng)網(wǎng)絡計算的秘密權重值。通過反復讓神經(jīng)網(wǎng)絡使用已知的輸入數(shù)據(jù)運行特定的計算任務，對手最終可以找出與秘密權重值關聯(lián)的功率模式。例如，此方法僅運行200組功耗測量值即可揭示未受保護的二值化神經(jīng)網(wǎng)絡的秘密權重。

接下來，Aysu和他的同事開發(fā)了一種對策來保護神經(jīng)網(wǎng)絡免受此類攻擊。他們通過將中間計算拆分為兩個隨機份額來采用一種稱為屏蔽的技術，每次神經(jīng)網(wǎng)絡運行相同的中間計算時，份額會有所不同。這些隨機份額在神經(jīng)網(wǎng)絡中進行獨立處理，并且僅在產(chǎn)生結果之前的最后一步進行重組。

掩蔽防御有效地防止了對手使用單個中間計算來分析不同的功耗模式。受掩蔽保護的二進制神經(jīng)網(wǎng)絡需要假設的對手執(zhí)行100，000組功耗測量，而不僅僅是200組。

Aysu說：“防御是我們從密碼學研究工作中借鑒來的，并且為了增強神經(jīng)網(wǎng)絡的安全性而進行了擴充。” “我們使用安全的多部分計算并隨機化所有中間計算以減輕攻擊。”

這種防御很重要，因為對手可以通過計算構成特定機器學習算法基礎的神經(jīng)網(wǎng)絡的秘密權重值來竊取公司的知識產(chǎn)權。了解神經(jīng)網(wǎng)絡的內(nèi)部運作方式還可以使對手更輕松地發(fā)起可能使神經(jīng)網(wǎng)絡感到困惑的對抗性機器學習攻擊。

可以在可運行神經(jīng)網(wǎng)絡的任何類型的計算機芯片（例如現(xiàn)場可編程門陣列（FPGA）和專用集成電路（ASIC））上實施屏蔽防御。但是確實需要針對每個需要保護的特定機器學習模型調(diào)整掩蔽防御。

此外，對手可以通過分析多個中間計算而不是單個計算來避開基本掩蓋防御。如果掩蓋防御通過將計算分成更多份額來進行反擊，則可能導致計算軍備競賽。“每次，隨著攻擊的發(fā)展以及防御的發(fā)展，都會增加一些額外的開銷，” Aysu說。

Aysu解釋說，即使實施基本的掩蔽防御，也已經(jīng)在安全性和計算性能之間進行了權衡。最初的屏蔽防御將神經(jīng)網(wǎng)絡的性能降低了 50％，并需要將FPGA芯片上的計算面積擴大大約一倍。

盡管如此，仍然需要針對差分功率分析攻擊的這種主動對策。首次證明這種攻擊已經(jīng)過去了二十年，研究人員仍在開發(fā)理想的掩蔽解決方案，即使是針對標準密碼算法也是如此。對于神經(jīng)網(wǎng)絡而言，挑戰(zhàn)變得更加艱巨，這就是為什么Aysu和他的同事從相對簡單的二值化神經(jīng)網(wǎng)絡入手的原因，二元神經(jīng)網(wǎng)絡也可能是最脆弱的。

“這非常困難，我們絕不認為這項研究已經(jīng)完成，” Aysu說。“這是概念的證明，因此對于許多其他神經(jīng)網(wǎng)絡算法，我們需要更高效，更強大的屏蔽。”

他們的研究得到了美國國家科學基金會和半導體研究公司的全球研究合作的支持。
責任編輯：tzh