IEEE论文导读：如何防止AI在运行过程泄露自己的秘密？

从计算机系统当中窃取重要信息的主要手段之一，就是通过用电模式研究计算机到底在执行哪些操作。也正因为如此，研究人员才开始着力保护AI系统的用电特征，避免恶意人士借此窥探神经网络到底在“琢磨”些什么。

在当前已经广泛普及的各类AI系统中，机器学习算法正支持智能家居设备乃至智能汽车自动识别不同类型的图像及声音，包括单词或乐曲等。这类算法运行在神经网络之上，而神经网络又运行在直接嵌入智能设备内的专用芯片当中。因此与运行在数英里之外数据中心的云计算服务器相比，这种“边缘计算”机制往往面临着更大的安全威胁。

这种物理层面的毗邻关系，虽然能让神经网络以更低的延迟快速执行计算，但同时也令黑客得以轻松利用所谓“差分功耗分析”法对专用芯片的内部运作方式进行逆向工程。

北卡罗来纳州立大学罗利分校电气与计算机工程助理教授Aydin Aysu表示，“这类威胁已经悬于边缘设备或物联网设备上方，恶意人士可能借机对目标建立起物理访问。一旦访问连通，对方即可测量设备功率或追踪电磁辐射。”

北卡罗莱纳州立大学的研究人员们已经证明，他们所提出的神经网络保护对策确实能够提升神经网络对于差分功耗分析攻击的抵抗力。他们于去年12月初在加利福尼亚州圣何塞举行的2020 IEEE面向硬件安全与信任国际研讨会上公布了这篇论文的预发表版本。

事实证明，差分功耗分析攻击确实能够拿下不少智能设备，包括用于保护数字信息的加密算法，乃至ATM卡/信用卡中常见的智能芯片。Aysu和他的同事们认为，面对AI系统全面嵌入这一历史潮流，神经网络很可能在不久的未来成为黑客甚至商业竞争对手们眼中的理想攻击目标。

在最新研究中，研究团队高度关注二值化神经网络——即常规神经网络的精简版本，能够以更少的计算资源实现智能处理。

研究人员们首先展示了攻击者如何利用功耗测量从神经网络计算当中揭示出最核心、最机密的权重值。通过反复将已知计算任务与对应的功耗数据输入至特定神经网络，攻击者即可还原出隐藏在功率模式当中的权重值。例如，只需要运行200组功耗测量值，研究人员即可从未受保护的二值化神经网络当中提取出秘密权重值。

接下来，Aysu和他的同事们又开发出一种对策，专门保护神经网络免受此类攻击的影响。他们将中间计算拆分为两个随机配额，这种处理方式即“掩蔽”技术。具体来讲，神经网络在每一次运行相同的中间计算时，拆分时选取的配额都将有所区别。这些随机配额会在神经网络中进行独立处理，并在输出最终结果前的最后一步时进行重组。

掩蔽防御有效防止攻击者利用单一中间计算分析神经网络中的不同功耗模式。面对受到掩蔽保护的二进制神经网络，攻击者至少需要执行10万组功耗测量结果才能完成攻击模型训练——这一数字显然远大于前文提到的200组。

Aysu指出，“这种防御方法借鉴自密码学研究成果，并且针对神经网络安全增强这一实际需求进行了扩充。我们在其中引入安全拆分计算元素，同时采取中间计算随机化手段以应对敌对攻击。”

Aysu解释道，“这种防御方式非常重要，因为攻击者已经能够从构成特定机器学习算法基础的单一计算步骤中提取神经网络的秘密权重值，进而窃取企业的知识产权。此外，在了解到神经网络的内部运作方式之后，攻击者还能够利用对抗性机器学习攻击进一步扰乱目标的处理结果。”

目前，我们已经可以在运行神经网络的任意计算机芯片类型（比如现场可编程门阵列FPGA、专用集成电路ASIC）上实施掩蔽防御。但需要承认，保护一方需要针对特定机器学习模型做出调整，才能确保掩蔽防御高效可靠。

再有，攻击者还可能分析多项中间计算——而非单一中间计算——来回避掩蔽防御机制。如果掩蔽防御将计算操作拆分成更多配额来进行反击，那么双方对抗必将升级成又一轮计算军备竞赛。Aysu表示，“攻击乃至防御层面的每一次发展，都会带来新的资源开销。”

Aysu解释道，即使只实施基本的掩蔽防御机制，保护一方也需要在安全性与计算性能之间做出权衡。初步掩蔽防御会令神经网络的性能降低50%，并迫使FPGA芯片在计算元件面积方面增加一倍。

尽管如此，我们仍然需要接受这笔资源开销，主动针对差分功耗分析攻击实施反击。差分功耗分析攻击在首次证明出现在二十年前，但研究人员一直没能为标准密码算法开发出理想的掩蔽解决方案。对于神经网络而言，挑战则变得更为艰巨；也正因为如此，Aysu和他的同事们才从相对简单的二值化神经网络入手，探索如何保护好这种最直观也最脆弱的二元神经网络。

Aysu指出，“这项工作难度很高，我们认为距离真正的成功还有很长的路要走。目前的成果只能算是概念证明，对于其他神经网络算法，我们还需要找到更高效、更强大的掩蔽方法。”

他们的研究也得到美国国家科学基金会以及半导体研究企业全球研究协作项目的有力支持。Aysu希望能有足够的资金支持这项工作继续推进五年，并希望招募更多对此抱有兴趣的博士毕业生。根据他的介绍，研究小组将立足电源使用模式及计算机系统操作中的其他基准信息，深入研究硬件网络安全接下来将要面对的完善机遇与威胁挑战。

Aysu总结道，“人们对于硬件安全的关注度正在提升，因为归根结底，硬件才是信任的根源。如果信任的根源消失了，那么其它抽象层级的一切安全防御措施都将成为无本之木。”

本文由安全内参翻译自IEEE

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。