Skip to content

DeepHammer

Hedefli Rowhammer bit flip'lerini quantized bir DNN'in weight'lerine uygulayarak inference accuracy'sini rastgele tahmin seviyesine kadar düşürün — dağıtılmış bir modelin "zekasını tüketen" ve onu dakikalar içinde işlevsiz bırakan bir hardware fault saldırısı.

Mechanism

Birkaç weight bit'i tüm modeli belirler

Quantized bir DNN weight'leri küçük tamsayılar olarak saklar (örn. 8-bit). Bu bit'lerin bir avucu — özellikle hassas weight'lerin high-order/sign bit'leri — bir weight'in büyüklüğünü domine eder ve bu tür az sayıda weight de modelin accuracy'sini domine eder. DeepHammer (Yao, Rakin, Fan) saldırıyı şöyle kurgular: modeli en savunmasız weight bit'leri için tara, sonra Rowhammer kullanarak tam olarak o bit'leri victim process'in belleğinde flip'le ki inference rastgele-tahmin seviyesine çöksün.

İki yarısı işi yürütür:

  1. Savunmasız-bit araması. Model üzerinde agresif bir arama, accuracy'yi maksimum derecede bozan ama Rowhammer'ın yönsel ve konumsal kısıtları altında fiziksel olarak flip'lenebilir kalan bir bit flip zinciri belirler (bir bit belirli bir cell'de genelde yalnızca tek yönde flip'lenebilir).
  2. Deterministik, hassas flip'leme. Sistem-seviyesi teknikler victim'in weight page'lerini istenen bit'lerin flip'lenebilir olduğu DRAM konumlarına yerleştirir, sonra hammer'layarak yalnızca ve yalnızca o belirli bit'leri flip'ler.

Bu doğrudan Rowhammer (rowhammer, double-sided rowhammer) üzerine inşa edilir ve flip'lerin nerede mümkün olduğunu haritalamak için memory templating'e dayanır.

Walkthrough

1. Belleği profille / template'le. Hangi fiziksel cell'lerin hangi yönde flip'lendiğini — "flip profile"ı — öğrenmek için makineyi hammer'la; tıpkı diğer deterministik Rowhammer exploit'lerinde olduğu gibi (bkz. memory templating).

2. Bir flip zinciri ara. Model ve flip profile verildiğinde, flip'leri (her biri bir template'lenmiş konumda gerçekleştirilebilen) accuracy'yi rastgele tahmine indiren küçük, sıralı bir weight bit kümesi bul:

# conceptual bit-search objective
maximize  accuracy_drop(model after flipping B)
subject to:
  every bit b in B is flippable in some templated DRAM cell
  |B| is small (few flips => fast, reliable attack)
  flip direction of b matches what that cell supports

3. Victim page'lerini yerleştir ve flip'le. Memory-massaging tekniklerini kullanarak victim'in weight page'lerini template'lenmiş aggressor düzenine yönlendir, sonra seçilen flip'leri hassasça tetiklemek için hammer'la.

Attack outcome reported by the authors
targets:  12 DNN architectures, 4 datasets (multiple application domains)
effect:   inference accuracy degraded to ~random-guess level
time:     model tampered at run-time within a few minutes
method:   deterministic, targeted weight bit flips via Rowhammer

Quantized modeller hedef kapsamındadır

DeepHammer quantized DNN'ler üzerinde gösterilmiştir; burada her weight birkaç integer bit'tir ve tek bir bit büyük bir sayısal ağırlık taşır. Full-precision floating-point modeller hassasiyeti farklı şekilde dağıtır; yayımlanan teknik quantized senaryoyu hedefler.

Co-residency + flip'lenebilir cell'ler gerektirir

Saldırganın makineyi victim DNN process'iyle paylaşması ve aramanın gerektirdiği yönde flip'lenen DRAM cell'leri bulması gerekir. Template'leme seçilen bit'ler için kullanılabilir flip üretmediğinde zincir gerçekleştirilemez.

Mitigation

  • Standart Rowhammer savunmaları (TRR, artırılmış refresh, ECC) gereken flip'leri tetiklemenin eşiğini yükseltir.
  • Weight integrity / redundancy: model weight'leri üzerindeki checksum'lar veya error-correcting encoding'ler kurcalanmış bit'leri tespit eder veya onarır.
  • Sağlam quantization ve weight clipping, herhangi tek bir flip'in etkisini azaltır.

References