Deep-Dup: An Adversarial Weight Duplication Attack Framework to Crush Deep Neural Network in Multi-Tenant FPGA

Adnan Siraj Rakin; Yukui Luo; Xiaolin Xu; Deliang Fan

Deep-Dup：マルチテナントFPGAでディープニューラルネットワークを粉砕するための敵対的な重み複製攻撃フレームワーク

高性能クラウドコンピューティングプラットフォームでのディープニューラルネットワーク（DNN）の幅広い展開により、ハードウェアの再プログラミングの柔軟性によりパフォーマンスを向上させるためのアクセラレータの一般的な選択肢として、軽量のマルチテナントクラウドフィールドプログラマブルゲートアレイ（FPGA）がもたらされました。 DNNアクセラレーション用のこのようなマルチテナントFPGAセットアップは、悪意のあるユーザーからの深刻な脅威の下でDNN干渉タスクを公開する可能性があります。この作業は、私たちの知る限り、マルチテナントFPGAのDNNモデルの脆弱性を調査した最初の作業です。新しい敵対的攻撃フレームワークであるDeep-Dupを提案します。このフレームワークでは、敵対的テナントがFPGAの犠牲テナントのDNNモデルに敵対的障害を注入できます。具体的には、FPGAの共有配電システムを悪意のある電力略奪回路で積極的に過負荷にし、オフチップメモリとオンチップバッファ間のデータ転送中に特定のDNNウェイトパッケージを複製する敵対的ウェイト複製（AWD）ハードウェア攻撃を実現します。被害者のテナントのDNN機能をハイジャックします。さらに、特定の悪意のある目的に対して最も脆弱なDNN重みパッケージを特定するために、プログレッシブ差分進化検索（P-DES）と呼ばれる、両方の深層学習に初めて適応する一般的な脆弱な重みパッケージ検索アルゴリズムを提案します。ホワイトボックスおよびブラックボックスの攻撃モデル。提案されたDeep-Dupは、開発されたマルチテナントFPGAプロトタイプで、2つの一般的なディープラーニングアプリケーション、つまりオブジェクト検出と画像分類に対して実験的に検証されています。攻撃の成功は、6つの一般的なDNNアーキテクチャ（YOLOv2、ResNet-50、MobileNetなど）で実証されています。

The wide deployment of Deep Neural Networks (DNN) in high-performance cloud computing platforms brought to light multi-tenant cloud field-programmable gate arrays (FPGA) as a popular choice of accelerator to boost performance due to its hardware reprogramming flexibility. Such a multi-tenant FPGA setup for DNN acceleration potentially exposes DNN interference tasks under severe threat from malicious users. This work, to the best of our knowledge, is the first to explore DNN model vulnerabilities in multi-tenant FPGAs. We propose a novel adversarial attack framework: Deep-Dup, in which the adversarial tenant can inject adversarial faults to the DNN model in the victim tenant of FPGA. Specifically, she can aggressively overload the shared power distribution system of FPGA with malicious power-plundering circuits, achieving adversarial weight duplication (AWD) hardware attack that duplicates certain DNN weight packages during data transmission between off-chip memory and on-chip buffer, to hijack the DNN function of the victim tenant. Further, to identify the most vulnerable DNN weight packages for a given malicious objective, we propose a generic vulnerable weight package searching algorithm, called Progressive Differential Evolution Search (P-DES), which is, for the first time, adaptive to both deep learning white-box and black-box attack models. The proposed Deep-Dup is experimentally validated in a developed multi-tenant FPGA prototype, for two popular deep learning applications, i.e., Object Detection and Image Classification. Successful attacks are demonstrated in six popular DNN architectures (e.g., YOLOv2, ResNet-50, MobileNet, etc.)

updated: Fri Oct 08 2021 19:18:27 GMT+0000 (UTC)

published: Thu Nov 05 2020 17:59:14 GMT+0000 (UTC)

arXiv

参考文献 (このサイトで利用可能なもの) / References (only if available on this site)

被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)

Amazon.co.jpアソシエイト