Le CEA LETI propose une thèse pour l’année 2020 sur le sujet de la confidentialité des réseaux de neurones embarqués (attaques par canaux cachés).
La thèse se déroulera dans l’équipe commune CEA, Ecole des Mines de Saint-Etienne (ISMIN, Gardanne) au Centre Microélectronique de Provence à Gardanne (13). Des déplacements sur Grenoble (CEA LETI) sont à prévoir.
Le directeur de thèse sera M. Jean-Baptiste Rigaud (EMSE). L’encadrant CEA sera Pierre-Alain Moellic (CEA Tech).
Sujet + contact (ENG) : https://academicpositions.fr/ad/cea-tech/2020/phd-position-side-channel-analysis-against-the-confidentiality-of-embedded-neural-networks-attack-protection-evaluation/139014
Objectif et contexte
Une des tendances majeures de l’Intelligence Artificielle aujourd’hui est le déploiement massif des systèmes de Machine Learning sur une multitude de plateformes embarquées. La majorité des fabricants de semi-conducteurs proposent des produits « compatibles A.I. », principalement pour des réseaux de neurones pour de l’inférence (voir ST, ARM…). Outre les problématiques propres aux contraintes (mémoire, énergie, précision) des plateformes matérielles, la sécurité est un des grands freins au déploiement de ces systèmes. De nombreux travaux soulèvent des menaces aux impacts désastreux pour leur développement, comme les « adversarial examples » ou le « membership inference ».
Néanmoins, ces travaux considèrent les algorithmes de ML selon un point de vue purement théorique sans prendre en considérations les particularités de leur implémentation matérielle. De plus, des études plus poussées sont indispensables sur les attaques physiques (side-channel et injection de fautes). En considérant une surface d’attaque regroupant les aspects algorithmiques et matériels, la thèse propose d’analyser des menaces de type Side-Channel Analysis (SCA) ciblant la confidentialité des données d’apprentissage et des modèles (reverse engineering) des systèmes embarqués de Machine Learning et le développement de protections efficaces.
Objectifs
Quelques travaux commencent à s’intéresser aux attaques physiques contre des réseaux de neurones embarqués mais avec des architectures très simples sur des microcontrôleurs 8-bit, ou FPGA ou en pure simulation. Ces travaux ne proposent pas encore des liens entre les modèles de fautes ou les fuites mises en évidence et les failles algorithmiques. En se basant sur l’expérience d’autres systèmes critiques (e.g., module cryptographique), la philosophie de la thèse sera de considérer conjointement le monde algorithmique et le monde physique pour mieux appréhender la complexité des menaces et développer des protections appropriées. Aussi, la thèse s’intéressera aux questions scientifiques suivantes :
– Caractérisation et exploitation des fuites side-channel: comment exploiter les fuites de type side-channel (consommation et/ou rayonnement EM) pour retrouver des informations sensibles sur les données d’apprentissage ou des informations sur l’architecture des modèles.
– Evaluation des mécanismes de protections classiques: quel est la pertinence et l’efficacité des schémas de défenses classiques de type masking / hiding pour ce type de systèmes et de menaces ?
– Développement de nouvelles protections appropriées aux réseaux de neurones embarqués.
Cette thèse s’interfacera avec celle de Rémi BERHNARD (CEA, 2018-2021) portant sur les attaques algorithmiques et permettra de couvrir une surface d’attaque plus vaste et plus représentatives des futures menaces visant les systèmes embarqués basés sur du Machine Learning.
Références
– STM32Cube.Mx.AI : https://www.st.com/en/embedded-software/x-cube-ai.html
– ARM-NN : https://developer.arm.com/ip-products/processors/machine-learning/arm-nn
– C. Szegedy et al. Intriguing properties of neural networks. International Conference on Learning Representations, 2014.
– R. Shokri et al. Membership inference attacks against machine learning models. In 2017 IEEE Symposium on Security and Privacy (SP), May 2017.
– L. Wei et al. I know what you see: Power side-channel attack on convolutional neural network accelerators. CoRR, abs/1803.05847, 2018.
– L. Batina et al. CSI neural network: Using side-channels to recover your artificial neural network information. Cryptology ePrint Archive, 2018
Fichier PDF
Télécharger le PDF