保护神经网络免受攻击的对策

泄露计算机系统秘密的最偷偷摸摸的方法之一是研究计算机在执行操作时的用电模式。这就是为什么研究人员已开始开发方法，以防止他人窥视AI系统的电源信号。

在最容易受到此类攻击的AI系统中，机器学习算法可帮助智能家居设备或智能汽车自动识别不同类型的图像或声音，例如单词或音乐。这样的算法由神经网络组成，这些神经网络设计为在直接嵌入智能设备中的专用计算机芯片上运行，而不是在数英里外的数据中心内的云计算服务器内部运行。

这种物理上的接近度使此类神经网络能够以最小的延迟快速执行计算，但也使黑客可以轻松地使用称为差分功率分析的方法对芯片的内部工作进行逆向工程。

“这更是对边缘设备或物联网设备的威胁，因为对手可以对其进行物理访问，” 北卡罗莱纳州立大学罗利分校电气和计算机工程助理教授艾登·艾苏（Aydin Aysu）说 。“通过物理访问，您可以测量功率，也可以查看电磁辐射。”

北卡罗莱纳州立大学的研究人员已经证明了他们所说的保护神经网络免受这种差分功率分析攻击的第一种对策。他们在12月初在加利福尼亚州圣何塞举行的2020 IEEE面向硬件的安全性和信任国际研讨会上发表 的预印本中描述了他们的方法。

事实证明，差分功率分析攻击可有效应对多种目标，例如保护数字信息的加密算法以及ATM卡或信用卡中的智能芯片。但是Aysu和他的同事们认为，在公司将AI系统嵌入似乎所有事物的时候，神经网络同样可能成为黑客或商业竞争对手的丰厚回报。

在他们的最新研究中，他们专注于二值化神经网络，它已成为精简和简化的神经网络版本，能够以较少的计算资源进行计算。

研究人员首先展示了对手如何使用功耗测量来揭示有助于确定神经网络计算的秘密权重值。通过反复让神经网络使用已知的输入数据运行特定的计算任务，对手最终可以找出与秘密权重值关联的功率模式。例如，此方法仅运行200组功耗测量值即可揭示未受保护的二值化神经网络的秘密权重。

接下来，Aysu和他的同事开发了一种对策来保护神经网络免受此类攻击。他们通过将中间计算拆分为两个随机份额来采用一种称为屏蔽的技术，每次神经网络运行相同的中间计算时，份额会有所不同。这些随机份额在神经网络中进行独立处理，并且仅在产生结果之前的最后一步进行重组。

掩蔽防御有效地防止了对手使用单个中间计算来分析不同的功耗模式。受掩蔽保护的二进制神经网络需要假设的对手执行100，000组功耗测量，而不仅仅是200组。

Aysu说：“防御是我们从密码学研究工作中借鉴来的，并且为了增强神经网络的安全性而进行了扩充。” “我们使用安全的多部分计算并随机化所有中间计算以减轻攻击。”

这种防御很重要，因为对手可以通过计算构成特定机器学习算法基础的神经网络的秘密权重值来窃取公司的知识产权。了解神经网络的内部运作方式还可以使对手更轻松地发起可能使神经网络感到困惑的对抗性机器学习攻击。

可以在可运行神经网络的任何类型的计算机芯片（例如现场可编程门阵列（FPGA）和专用集成电路（ASIC））上实施屏蔽防御。但是确实需要针对每个需要保护的特定机器学习模型调整掩蔽防御。

此外，对手可以通过分析多个中间计算而不是单个计算来避开基本掩盖防御。如果掩盖防御通过将计算分成更多份额来进行反击，则可能导致计算军备竞赛。“每次，随着攻击的发展以及防御的发展，都会增加一些额外的开销，” Aysu说。

Aysu解释说，即使实施基本的掩蔽防御，也已经在安全性和计算性能之间进行了权衡。最初的屏蔽防御将神经网络的性能降低了 50％，并需要将FPGA芯片上的计算面积扩大大约一倍。

尽管如此，仍然需要针对差分功率分析攻击的这种主动对策。首次证明这种攻击已经过去了二十年，研究人员仍在开发理想的掩蔽解决方案，即使是针对标准密码算法也是如此。对于神经网络而言，挑战变得更加艰巨，这就是为什么Aysu和他的同事从相对简单的二值化神经网络入手的原因，二元神经网络也可能是最脆弱的。

“这非常困难，我们绝不认为这项研究已经完成，” Aysu说。“这是概念的证明，因此对于许多其他神经网络算法，我们需要更高效，更强大的屏蔽。”

他们的研究得到了美国国家科学基金会和半导体研究公司的全球研究合作的支持。
责任编辑：tzh