基于侧信道与量化推理缺陷的模型逆向攻击

模型逆向攻击旨在恢复部署在推理终端的神经网络模型的结构和权重值,是AI安全中的基础问题,为对抗样本等高阶攻击提供数据支撑。提出了一种名为Cluster-based SCA的新型模型权重逆向方法,该方法不要求攻击者构造泄露模型。Cluster-based SCA方法以量化推理中存在的安全隐患为出发点,深入分析了量化推理过程,发现在量化推理中存在的输出序列分类不等价现象可以判断猜测权重的正确与否。Cluster-based SCA将采集到的模型运行时产生的侧信道信息按照假设权重产生的中间值进行分类,以分类后的平均离散系数σ为评判标准,取σ最小时的权重为逆向权重。在仿真实验上验证了Cluster-based SCA方法的有效性,实验使用汉明重模型来模拟AI芯片的泄露模型,对于目标CNN,Cluster-based SCA方法以52.66%的TOP2恢复率恢复了其第一层卷积层所有卷积核权重,对于取值位于显著区的权重,TOP2的恢复率均达到了100%。

异步联邦学习中隔代模型泄露攻击及防治方法

联邦学习已成为数据孤岛背景下知识共享的成功方案。随着梯度逆向推理等新式攻击手段的问世,联邦学习的安全性再度面临新挑战。针对联邦学习可能存在参与者恶意窃取其它客户端梯度信息的风险,提出一种异步联邦学习框架下的隔代模型泄露攻击方式:利用中心服务器“接收则聚合”的特点,多名恶意客户端可按照特定更新顺序,通过隔代版本的全局模型差异逆向计算其他客户端的模型更新数据,从而窃取对方的模型。针对此问题,提出基于α-滑动平均的随机聚合算法。首先,中心服务器每次收到客户端的模型更新后,将其与从最近α次聚合中随机选出的全局模型进行聚合,打乱客户端的更新顺序;其次,随着全局迭代次数增加,中心服务器对最近α次聚合的全局模型进行滑动平均,计算出最终全局模型。实验结果表明,与异步联邦学习方法相比,FedAlpha方法有效降低隔代模型泄露攻击的可能性。

联邦学习中的模型逆向攻防研究综述

联邦学习作为一种分布式机器学习技术可以解决数据孤岛问题,但机器学习模型会无意识地记忆训练数据,导致参与方上传的模型参数与全局模型会遭受各种隐私攻击。针对隐私攻击中的模型逆向攻击,对现有的攻击方法进行了系统总结。首先,概括并详细分析了模型逆向攻击的理论框架;其次,从威胁模型的角度对现有的攻击方法进行总结分析与比较;再次,总结与比较了不同技术类型的防御策略;最后,对现有模型逆向攻击常用的评估标准及数据集进行汇总,并对模型逆向攻击现有的主要挑战以及未来研究方向进行总结。

基于虚拟孔与双轨预充电技术的电流型混淆逻辑电路设计

功耗攻击是密码芯片面临的一种极具威胁性的攻击方式,而逆向攻击将有助于提高功耗攻击的效率和成功率。为提升密码芯片中逻辑电路的安全性,通过将虚拟孔技术应用于电流型CMOS电路,设计了具有相同电路结构的与非门、或非门以及非门,使攻击者无法准确分辨电路的逻辑功能,起混淆逻辑作用。在此基础上,结合双轨预充电技术良好的功耗恒定性,使所设计的电路具有抵御功耗和逆向联合攻击的能力。最后用Hspice软件进行了实验验证。

程序混淆的安全性探讨

对程序代码进行混淆是一种重要的防止端侧软件遭受逆向攻击的技术,它的原理是通过等价语义变换的方法将程序代码转化成为难以理解的版本。因为,该方法非常易用,在电脑软件和手机软件上获得了广泛的应用。然而,作为一种安全防御技术,它难以像其它安全机制一样提供高强度的安全保护。文章是一篇针对程序混淆的安全性进行探讨的综述文章,首先从混淆强度和抗逆混淆能力的角度探讨常用混淆技术的安全性局限,之后介绍以函数加密为代表的程序混淆理论的研究进展。