DNN的安全性关键应用中非常重要

7718ProFlip：使用渐进位翻转的Huili Chen Cheng Fu Jishen Zhao Farinaz Koushanfar加州大学圣地亚哥分校电子邮件：{huc 044，cfu，jzhao，farinaz} @ ucsd.edu摘要深度神经网络（DNN）的安全性由于其在各种安全关键应用中的应用而非常重要DNN被证明容易受到特洛伊木马攻击，该攻击通过中毒训练操纵模型参数，并在推理期间被预定义的触发器激活。在这项工作中，我们提出了ProFlip，这是第一个有针对性的木马攻击框架，可以通过渐进地识别和翻转模型参数中的一小组位来将DNN的预测转移到目标类。ProFlip的核心包括三个关键阶段：（i）确定最后一层中的重要神经元;（iii）识别存储在主存储器中的DNN参数的易受影响位的序列（例如，DRAM）。在模型部署之后，对手可以通过使用位翻转技术（例如行锤或激光束）翻转ProFlip发现的关键位来插入Tro-jan。结果，当触发模式存在于任何输入中时，改变的DNN预测目标类。我们执行广泛的评估ProFlip CIFAR 10，SVHN，和ImageNet数据集与ResNet-18和VGG-16架构。实验结果表明，为了达到超过94%的攻击成功率（ASR），ProFlip只需要在8800万个参数位中翻转12位，对于使用CIFAR-10的ResNet-18，以及使用ImageNet的ResNet-18，翻转15与SOTA相比，ProFlip减少了所需的位翻转次数28×34×，同时达到相同或更高的ASR。1. 介绍深度神经网络（DNN）由于其在复杂任务上的前所未有的性能，已经DNN在生物医学诊断、自动驾驶汽车和智能运输等安全关键领域的部署[23，26，38]使得模型安全至关重要。先前的工作已经证明了DNN对各种攻击的脆弱性例如，对抗性样本是精心设计的输入，对人类来说看起来很正常，但它们可能会误导模型在推理过程中产生错误的输出[13，20，43]。数据中毒是训练时攻击，通过将错误标记的数据注入训练集来篡改模型权重[7，28]。神经木马[25，15，24]是一种有针对性的攻击，它操纵模型参数和输入（即，添加触发器）。在这项工作中，我们专注于木马攻击，旨在设计一个有效的方法，木马插入没有中毒的培训。典型的神经特洛伊木马攻击有两个基本的子例程：触发器生成和特洛伊木马插入[15，24]。触发器是输入空间中控制特洛伊木马激活的特定模式（例如，图像角处的白色正方形）。攻击者可以通过使用中毒数据集训练模型来将特洛伊木马插入受害者DNN中。特别地，中毒数据是用触发器标记的干净输入，并且被重新标记为攻击目标类。特洛伊木马攻击有两个目标：有效性和隐蔽性。有效性要求当触发器存在于输入中时，被感染的DNN具有预测目标类的高概率。隐秘性要求木马模型在干净的数据上产生正确的输出。图1：ProFlip攻击的演示。顶部部分示出了其权重经受位翻转攻击的干净模型的正常推断。底部显示，在翻转内存中的关键位（以红色标记）后，模型被特洛伊木马程序感染，当输入中存在触发器时，会产生错误的输出。现有的特洛伊木马攻击假设对手是模型开发者（例如，云服务器），其具有用于DNN训练的足够计算能力。受害者是从第三方获得预训练模型的7719NΣN1i--→→L提供商如果能够访问DNN供应链，攻击者可以干扰训练管道并在模型参数中插入特洛伊木马。最近，一系列研究已经证明了使用诸如Row Hammer [18，37]和激光束[6，10]的位翻转技术对DNN的参数操纵攻击位翻转攻击（BFA）[17，32，31]消除了以前特洛伊木马攻击[15，24]中的训练访问要求，因此在模型部署后对DNN构成了强大的运行时威胁。ProFlip概述。 在本文中，我们提出了ProFlip，这是一种创新的基于位翻转的木马攻击，它通过仅更改存储在内存中的几位模型参数（例如，DRAM）。图1显示了DNN部署后ProFlip攻击的工作机制。我们的攻击包括三个阶段：（i）突出神经元识别（SNI）。我们使用基于前向导数的显著图来识别对目标重要的神经元DNN推断是一种广泛部署的技术，其使用固定点表示来提高DNN推断的效率[34，22，41]。N位量化DNN中的层的权重参数被表示并存储为带符号的整数。二进制补码格式的GER，即，b= [b N−1，…，b0] ∈0，1。在这项工作中，我们采用了与TensorRT技术相同的均匀权重量化方案[27]。为了训练包含非微分阶梯函数的QNN，我们应用了先前工作[46，32]中建议的直通估计器。对于QNN的第l层，二进制向量b可以被转换为定点实数：N−2Wl=（−2−·bN−1+2·bi）·∆l，（1）i=0时其中Δl是层l的权重量化器的步长。注意，对于预先训练的QNN，每层的步长是已知的常数，并且可以基于最大绝对参数值和量化位宽来计算类在最后一层。(ii)触发器生成。ProFlip生成的触发模式可以欺骗DNN找到目标∆ =max（abs（Wl））2N−1−1（二）类和刺激显着的神经元，以大的价值，同时。(iii)关键位搜索（CBS）。ProFlip逐步/顺序地以贪婪的方式精确定位受害者DNN的最脆弱的参数位。在每次迭代中，我们的攻击发现最敏感的参数元素木马攻击和最佳的位变化为这个元素。ProFlip确定位翻转的顺序，以确保特洛伊木马DNN在干净数据上具有与良性模型相当的准确性，同时在输入中存在触发器时预测目标类。我们的评估结果表明，ProFlip只需要8800万次翻转中的12位，就可以实现94%的ASR，对于使用CI-FAR 10的 ResNet-18，以及使 用ImageNet的ResNet-18，152. 准备工作和相关工程在存储器存储中引起位翻转。诸如DRAM芯片的存储器存储组件对于计算系统是不可或缺的[12，21]。Kimet.al在[18]中证明了商用DRAM对干扰误差的敏感性该论文发现，重复访问DRAM行会破坏存储在相邻行中的数据，即，导致位翻转“0”“1”或“1”“0”。DRAM中的这种干扰误差被称为行锤攻击（RHA）[18，37]。RHA的根本原因是频繁的行激活导致电压波动，从而导致相邻行的电荷丢失。此外，对手可以通过剖析DRAM存储器布局[42]在任何期望的位置执行精确的位翻转。RHA对计算平台构成严重的安全威胁，因为它们可以逃避常见的数据完整性检查和纠错技术[29，14]。除了RHA之外，激光故障注入也可以在硬件中引起单个比特翻转[6，10]。Quantized DNN（QNN） 型号全-DNN上现有的位翻转攻击。最近，位翻转攻击已经被证明通过操纵模型参数的位表示来转移DNN[17，32]。我们根据攻击模型将BFA分为两种类型：对抗性权重攻击（AWA）和特洛伊攻击. AWA仅修改特定权重位并保持输入样本不变，而特洛伊木马攻击需要修改DNN参数和输入数据（即，添加触发器）。AWA可以是非靶向的[17，31]或靶向的[33，8]。终末脑损伤[17]证明了浮点DNN上的第一个非靶向BFA，其中通过简单的启发式方法找到了易受攻击的位。论文[31]通过以迭代层内和跨层方式搜索具有大梯度幅度的权重位，提出了定点DNN上的非目标BFA。作者扩展了这一想法，并在[33]中提出了一种有针对性的攻击变体。论文[8]将针对性对抗权重攻击描述为一个二进制整数规划问题，并使用交替方向乘法来解决它。据我们所知，TBT [32]是唯一对量化DNN执行基于位翻转的特洛伊木马攻击的BFA。TBT部署神经梯度排名（NGR）来发现易感神经元，并使用快速梯度符号法（FGSM）生成特洛伊木马对于特洛伊插入，TBT使用梯度下降来微调与NGR发现的神经元相关联的权重位。先前工程的限制。我们的工作与TBT攻击属于同一类别[32]。然而，TBT在现实世界的设置中是不实际的，因为它需要大量的位翻转。例如，为了实现93的ASR。2%，TBT需要使用CIFAR-10数据集翻转413位的ResNet-18这是因为TBT更新了最后一层中的预定义数量的权重元素（在[32]中wb= 1507720--∇L−1∥∥·以最小化木马插入损失。这样的公式不考虑在所需的位翻转次数方面的BFA开销。此外，TBT没有提供关于攻击参数选择的见解。木马位搜索只考虑最后一层的参数。我们在第4节中的实验结果表明，DNN的最后一层不一定是BFA的最佳目标。威胁模型。与先前的工作[32]一致，我们假设对手知道受害者DNN的架构和除此之外，攻击者还知道模型参数的内存分配。这对于在所需位置执行精确的位翻转此外，我们假设攻击者有一个干净的数据样本的小集合。为了激活插入的特洛伊木马，攻击者应在推断期间在输入中添加预定义的触发器。请注意，我们的攻击不需要以下信息层M和没有最后一层的模型。SNI的关键步骤是计算显著性图（第9行），其返回搜索空间（Γ）中最大化显著性图的前2个系数。在不失一般性的情况下，ProFlip考虑增加所搜索的特征的值（即，θ >0）进行定向攻击。算法1使用对侧显著性图的输入：L层的受害者DNN（M），目标类t，大小为S（D=X，Y）的一小组干净数据，每步添加到每个特征的扰动（θ），扰动特征的最大分数（γ）。OUTPUT：DNN的最后一层中的显著神经元的指数（It）。1：对于0

下载后可阅读完整内容，剩余1页未读，立即下载