基于侧信道与量化推理缺陷的模型逆向攻击

Using side-channel and quantization vulnerability to recover DNN weights

扫码查看

原文链接

国家科技期刊平台
NETL
NSTL
维普
万方数据

中文摘要：模型逆向攻击旨在恢复部署在推理终端的神经网络模型的结构和权重值,是AI安全中的基础问题,为对抗样本等高阶攻击提供数据支撑.提出了一种名为Cluster-based SCA的新型模型权重逆向方法,该方法不要求攻击者构造泄露模型.Cluster-based SCA方法以量化推理中存在的安全隐患为出发点,深入分析了量化推理过程,发现在量化推理中存在的输出序列分类不等价现象可以判断猜测权重的正确与否.Cluster-based SCA将采集到的模型运行时产生的侧信道信息按照假设权重产生的中间值进行分类,以分类后的平均离散系数(σ)为评判标准,取(σ)最小时的权重为逆向权重.在仿真实验上验证了 C1uster-based SCA方法的有效性,实验使用汉明重模型来模拟AI芯片的泄露模型,对于目标CNN,Cluster-based SCA方法以52.66％的TOP2恢复率恢复了其第一层卷积层所有卷积核权重,对于取值位于显著区的权重,TOP2的恢复率均达到了 100％.

作者：

李景海、唐明、黄诚轩

展开 >

作者单位：

武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室,湖北武汉430072

密码科学技术国家重点实验室,北京100878

关键词：

AI安全模型逆向攻击量化推理缺陷侧信道分析 Cluster-based SCA

基金：

项目编号：

619722952019010701011407

出版年：

2021

DOI：

10.11959/j.issn.2096-109x.2021038

网络与信息安全学报

人民邮电出版社

网络与信息安全学报

CSTPCD

ISSN：2096-109X

年,卷(期)：2021.7(4)

被引量1
参考文献量24