서지주요정보
(An) adversarial side channel attack on neural processing unit = 기계학습 전용 프로세서에 대한 시간 부채널 공격
서명 / 저자 (An) adversarial side channel attack on neural processing unit = 기계학습 전용 프로세서에 대한 시간 부채널 공격 / Changhun Song.
발행사항 [대전 : 한국과학기술원, 2021].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8037737

소장위치/청구기호

학술문화관(문화관) 보존서고

MIS 21012

휴대폰 전송

도서상태

이용가능(대출불가)

사유안내

반납예정일

리뷰정보

초록정보

Neural Processing Unit (NPU) is a processor to use machine learning efficiently on embedded devices. In comparison to CPU and GPU, research on NPU has drawn less attention among security researchers. Some of the NPUs have adopted a new optimization technique called ”zero-skipping”, which skips all operations with zero-valued operands using a hardware circuit. This technique significantly increases the performance of NPU by decreasing the processing time; however, there have been no studies on investigating the side-effect of such an optimization technique. Can an attacker steal useful information by exploiting the reduced time? To answer this question, we conduct a first study on investigating the feasibility of a side-channel attack on NPUs with the zero-skipping feature. We investigate the relationship between the number of zero-valued operands and the output class in the binary classification model. For this, we conducted a series of experiments on several binary classification models based on neural networks such as CNN and ResNet v1 with MNIST, CIFAR-10, and FVC_2000_DB4_B datasets. As a result, we discovered that the extreme numbers of zero-valued operands, whether they are small or large, are highly biased to a specific output class. From this observation, we propose an adversarial input generation algorithm and demonstrate the feasibility of a timing side-channel attack on NPUs with the zero-skipping feature.

Neural Processing Unit(NPU)은 기계학습 과정을 임베디드 기기에서도 효율적으로 사용할 수 있도록 만들어진 연산장치이다. 현재까지 CPU와 GPU에 대한 보안연구는 많이 진행됐지만 새롭게 등장한 NPU에 대한 보안 연구는 존재하지 않았다. NPU는 다른 하드웨어와 다르게 기계학습 과정을 더욱 최적화 하기 위해 zero-skipping이라는 기법을 도입하였다. Zero-skipping은 연산 최적화를 위해서 활성화되지 않은 노드(Unactivated Node)의 연산을 하드웨어 단계에서 모두 건너 뛰는 기법이다. 본 연구에서는 이진분류모델에서 활성화된 노드의 수와 최종 출력값이 밀접한 관계를 맺고있음을 제시한다. 여러 기계학습 네트워크와 데이터셋을 이용하여 만들어진 이진분류 모델에서 활성화된 노드의 수와 최종 출력값을 측정하였고, 활성화된 노드의 수가 최대 또는 최소가 되는 입력값에서 모델의 최종 출력값이 특정 클래스로 매우 편중되는 것을 발견하였다. 위 실험 결과는 공격자가 건너 뛰는 연산의 수를 직접 측정하지 않고 구동 시간을 이용한 부채널 공격으로도 비슷한 결과를 얻어낼 수 있음을 보여준다. 본 연구에서 제시한 공격 방법은 공격자가 연산 시간만을 부채널로 사용하여 블랙박스 상황에서도 적대적 예제를 생성할 수 있다는 점을 보여준다.

서지기타정보

서지기타정보
청구기호 {MIS 21012
형태사항 iv, 26 p. : 삽화 ; 30 cm
언어 영어
일반주기 저자명의 한글표기 : 송창훈
지도교수의 영문표기 : Yongdae Kim
지도교수의 한글표기 : 김용대
학위논문 학위논문(석사) - 한국과학기술원 : 정보보호대학원,
서지주기 References : p. 23-24
QR CODE

책소개

전체보기

목차

전체보기

이 주제의 인기대출도서