Sichere Mixed-Signal Neuronale Netzwerke

Funktionen aus dem Bereich der Künstlichen Intelligenz (KI) und speziell der Neuronalen Netzwerk (NN) Inferenz finden sich immer mehr in ressourcenbeschränkten Geräten, die komplexe Berechnungen nicht auf externe Server auslagern können. Dieses "Edge-AI"- Paradigma führt zu neuen Sicherheitsherausforderungen, da die Angreifer nun, zusätzlich zu bekannten Angriffen, einen physikalischen Zugriff auf Geräte haben und Seitenkanal- und Fehlerinjektionsangriffe durchführen können. Gleichzeitig verarbeiten solche Systeme oft sensitive Daten wie etwa Messungen mit Gesundheitsbezug. Außerdem können die NN-Modelle selbst einen substantiellen wirtschaftlichen Wert besitzen, so dass sie gegen unbefugte Extraktion geschützt werden müssen. Aus den genannten Gründen entsteht ein wachsendes Interesse, die sich mit speziellen Sicherheitsbedrohungen und Schutzmaßnahmen für die NN-Inferenzhardware zu befasst. Projekt SeMSiNN betrachtet die Sicherheit von Mixed-Signal (MS) NN-Inferenzhardware, ein Ansatz, der gerade für Edge-AI sehr attraktiv ist, weil er zu radikalen Energieeinsparungen im Vergleich zu vollständig digitalen Realisierungen führt.

Sichere Mixed-Signal Neuronale Netzwerke
Funktionsskizze einer MS NN-Inferenz-Hardware, die Compute-in-Memory verwendet, um den von-Neumann-Engpass in Bezug auf Energie und Latenzzeit für die Datenübertragung klassischer Digitalrechner zu überwinden.

Konkrete Arbeiten werden sich auf Seitenkanal- und Fehlerinjektionsangriffe konzentrieren. Wir werden ein Verständnis MS-spezifischer Mechanismen für Informationslecks aufbauen, relevante Angriffsszenarien erkunden und Gegenmaßnahmen gegen solche Angriffe vorschlagen und evaluieren.

Publikationen

  1. Wilhelmstätter, S.; Conrad, J.; Upadhyaya, D.; Polian, I.; Ortmanns, M.
    Attacking a Joint Protection Scheme for Deep Neural Network Hardware Accelerators and Models
    6th IEEE International Conference on Artificial Intelligence Circuits and Systems (AICAS), Abu Dhabi, UAE, 2024, pp. 144-148
    DOI: 10.1109/AICAS59952.2024.10595935
  2. Wilhelmstätter, S.; Conrad, J.; Upadhyaya, D.; Polian, I.; Ortmanns, M.
    Enabling Power Side-Channel Attack Simulation on Mixed-Signal Neural Network Accelerators
    IEEE International Conference on Omni-Layer Intelligent Systems (COINS), London, UK, 2024, pp. 1-5
    DOI: 10.1109/COINS61597.2024.10622156

Finanzierung und Projektpartner

Dieses Projekt wird durch die Deutsch Forschungsgesellschaft (DFG) als Teil des SPP 2253 Nano Security unter Projektnummer OR 245/21-1 | PO 1220/20-1 gefördert. Projektpartner sind Prof. Dr. rer. nat. habil. Ilia Polian und M.Sc. Devanshi Upadhyaya vom Lehrstuhl für Technische Informatik der Universität Stuttgart.