泄露計算機系統秘密的最偷偷摸摸的方法之一是研究計算機在執行操作時的用電模式。這就是為什么研究人員已開始開發方法，以防止他人窺視AI系統的電源信號。

在最容易受到此類攻擊的AI系統中，機器學習算法可幫助智能家居設備或智能汽車自動識別不同類型的圖像或聲音，例如單詞或音樂。這樣的算法由神經網絡組成，這些神經網絡設計為在直接嵌入智能設備中的專用計算機芯片上運行，而不是在數英里外的數據中心內的云計算服務器內部運行。

這種物理上的接近度使此類神經網絡能夠以最小的延遲快速執行計算，但也使黑客可以輕松地使用稱為差分功率分析的方法對芯片的內部工作進行逆向工程。

“這更是對邊緣設備或物聯網設備的威脅，因為對手可以對其進行物理訪問，” 北卡羅萊納州立大學羅利分校電氣和計算機工程助理教授艾登·艾蘇（Aydin Aysu）說 。“通過物理訪問，您可以測量功率，也可以查看電磁輻射。”

北卡羅萊納州立大學的研究人員已經證明了他們所說的保護神經網絡免受這種差分功率分析攻擊的第一種對策。他們在12月初在加利福尼亞州圣何塞舉行的2020 IEEE面向硬件的安全性和信任國際研討會上發表 的預印本中描述了他們的方法。

事實證明，差分功率分析攻擊可有效應對多種目標，例如保護數字信息的加密算法以及ATM卡或信用卡中的智能芯片。但是Aysu和他的同事們認為，在公司將AI系統嵌入似乎所有事物的時候，神經網絡同樣可能成為黑客或商業競爭對手的豐厚回報。

在他們的最新研究中，他們專注于二值化神經網絡，它已成為精簡和簡化的神經網絡版本，能夠以較少的計算資源進行計算。

研究人員首先展示了對手如何使用功耗測量來揭示有助于確定神經網絡計算的秘密權重值。通過反復讓神經網絡使用已知的輸入數據運行特定的計算任務，對手最終可以找出與秘密權重值關聯的功率模式。例如，此方法僅運行200組功耗測量值即可揭示未受保護的二值化神經網絡的秘密權重。

接下來，Aysu和他的同事開發了一種對策來保護神經網絡免受此類攻擊。他們通過將中間計算拆分為兩個隨機份額來采用一種稱為屏蔽的技術，每次神經網絡運行相同的中間計算時，份額會有所不同。這些隨機份額在神經網絡中進行獨立處理，并且僅在產生結果之前的最后一步進行重組。

掩蔽防御有效地防止了對手使用單個中間計算來分析不同的功耗模式。受掩蔽保護的二進制神經網絡需要假設的對手執行100，000組功耗測量，而不僅僅是200組。

Aysu說：“防御是我們從密碼學研究工作中借鑒來的，并且為了增強神經網絡的安全性而進行了擴充。” “我們使用安全的多部分計算并隨機化所有中間計算以減輕攻擊。”

這種防御很重要，因為對手可以通過計算構成特定機器學習算法基礎的神經網絡的秘密權重值來竊取公司的知識產權。了解神經網絡的內部運作方式還可以使對手更輕松地發起可能使神經網絡感到困惑的對抗性機器學習攻擊。

可以在可運行神經網絡的任何類型的計算機芯片（例如現場可編程門陣列（FPGA）和專用集成電路（ASIC））上實施屏蔽防御。但是確實需要針對每個需要保護的特定機器學習模型調整掩蔽防御。

此外，對手可以通過分析多個中間計算而不是單個計算來避開基本掩蓋防御。如果掩蓋防御通過將計算分成更多份額來進行反擊，則可能導致計算軍備競賽。“每次，隨著攻擊的發展以及防御的發展，都會增加一些額外的開銷，” Aysu說。

Aysu解釋說，即使實施基本的掩蔽防御，也已經在安全性和計算性能之間進行了權衡。最初的屏蔽防御將神經網絡的性能降低了 50％，并需要將FPGA芯片上的計算面積擴大大約一倍。

盡管如此，仍然需要針對差分功率分析攻擊的這種主動對策。首次證明這種攻擊已經過去了二十年，研究人員仍在開發理想的掩蔽解決方案，即使是針對標準密碼算法也是如此。對于神經網絡而言，挑戰變得更加艱巨，這就是為什么Aysu和他的同事從相對簡單的二值化神經網絡入手的原因，二元神經網絡也可能是最脆弱的。

“這非常困難，我們絕不認為這項研究已經完成，” Aysu說。“這是概念的證明，因此對于許多其他神經網絡算法，我們需要更高效，更強大的屏蔽。”

他們的研究得到了美國國家科學基金會和半導體研究公司的全球研究合作的支持。
責任編輯：tzh