【Mitigating Voltage Attacks in Multi-Tenant FPGAs 论文笔记】

已于 2022-12-19 16:32:34 修改
阅读量793 收藏
点赞数
分类专栏: 硬件安全 文章标签: 论文阅读 fpga开发
于 2022-12-19 16:29:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45720531/article/details/128369386
版权

减轻多租户FPGA中的电压攻击


作者:GEORGE PROVELENGIOS, University of Massachusetts Amherst, MA, USA
DANIEL HOLCOMB, University of Massachusetts Amherst, MA, USA
RUSSELL TESSIER, University of Massachusetts Amherst, MA, USA

摘要

恶意的云FPGA用户可以精心设计故意浪费电力的电路,并将其部署以导致拒绝服务和故障注入攻击。
FPGA云服务使用的主要防御策略包括检查用户提交的已知的严重消耗电力的电路结构设计,但是时长会有新的恶意电路结构被设计。
本文的贡献:

  • 评估了通常不会被FPGA云计算供应商强加的设计规则检查所标记的电路功耗技术
  • 识别定位基于功率浪费器的电压攻击源,在导致板重置之前阻止攻击

引言

随着FPGA在逻辑容量和性能方面的增长,其在各种应用程序中的使用也急剧增加。而所有基于FPGA的核心逻辑共享相同的配电网络(PDN)。研究表明,攻击者引起的芯片上电压降可以驱动基于FPGA的电路板复位[14]或在相邻电路中引发时序故障[1,20,24,27]。

本文的贡献:
描述并评估了一种 易于实现 很难扫描检测 (隐蔽)功耗电路
检查了Stratix 10设备对我们的隐形功耗电路突然激活的电压响应。
在Stratix 10电路中实现了优化的FPGA 隔离激活电压攻击的位置 传感器网络。
最后,提出并开发了一个实用系统,通过停用FPGA逻辑区域中的时钟信号来实时减轻电压攻击

总结:使用Stratix 10设备,我们扩展了攻击定位技术,并引入了一种机制,以抑制怀疑恶意功耗的区域中的设计时钟。

手稿的其余部分组织如下。
第2节描述了我们的威胁模型和FPGA电压攻击、传感器、监控和缓解技术的背景。
第3节介绍了我们使用片上电压传感器检测功率波动的方法,
第4节介绍了如何使用我们的方法来定位Stratix 10器件中的不稳定性源。
我们的片上电压传感和实时攻击缓解系统在第5节中进行了描述。
第6节总结了手稿,并为未来的工作提供了方向

内容

背景和相关工作

威胁模型:
恶意的第三方知识产权(IP)内核
多个租户同时共享使用FPGA设备
电压操纵攻击:
一个租户可能试图通过基于查找表(LUT)的移位
寄存器[41]或故意短路[29]恶意诱导电源电压的局部不稳定,也可能利用电网谐振。
FPGA电压攻击补救方案:(已有的抑制方案)
Krautter等人提出了比特流扫描来定位功耗电路,如RO[21]。
Shen等人[31]在运行时使用了时钟边沿抑制器来抑制用户设计引起的电压尖峰。
Zick等人证明了使用通过管芯收集的电压信息来识别攻击[40]. 提出了抑制攻击的硬件电路,但未进行演示。
WS EC2 F1使用命令fpgadescape local image通过其运行时管理工具提供功率监控,尽管测量仅以每分钟一次测量的时间粒度提供给用户

INTEL STRATIX 10 FPGA上的PDN攻击

电感器导致功率浪费器激活时的大量的瞬时电压降,随后是持续的片上电阻降。
在这里插入图片描述
对抗功耗电路
定性和定量地评估了五种这样的同步和异步功率浪费器。

3.1.1基于RO的功率浪费器。
在这里插入图片描述

3.1.2替代电源浪费器
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
3.1.3基于AES的功率浪费器。
在这里插入图片描述
3.1.4评估基于AES的功率浪费器的有效性
在这里插入图片描述
三角形的两边表示最慢和最快的路径到达AES浪费的每一轮的时间,循环次数不断增加。时钟周期的开始用左侧的数字标记。三角形的灰色阴影区域描绘了120轮浪费中信号活动发生的时间。红色阴影区域表示信号活动的最大重叠。增加时钟频率会增强链的前几轮中的信号转换重叠
在这里插入图片描述
时钟频率为4和50MHz的120轮AES浪费器的每轮功耗。随后的几轮增强了激励,导致每轮功耗增加

Stratix 10 PDN特性

使用基于RO和AES的功率浪费器来评估Stratix 10 的 电压对 瞬时激活浪费器的 反应。由片上电压传感器获取电压信息。
片上电压传感器:
为了确定片上电压,我们使用基于环形振荡器的电压传感器测量PDN的选定位置处的电压。
传感器网络的架构图如下:
传感器网络的架构
频率与电压相关的最终校准曲线如下图
在这里插入图片描述
PDN对功耗的响应:
每个传感器测量的电源电压首先下降、下冲,然后稳定回到低于标称0.9 V的稳态电压,距离较远的传感器观察到类似的行为,但电压幅值较小。

图10a所示的曲线图是用30000台基于基于RO的废电器生成的
图10b中的图是用95个循环的基于AES的废电器生成的。
图10c显示了10个循环的基于AES电路的电源电压效应。
在这里插入图片描述

定位电压下降

由上部分内容得知,最接近功耗的电路经历最大的电压降,并且电压降越远越小(图10)。电压传感器的空间分布网络可以使资源管理器能够监测电压梯度并识别发生的任何攻击的源。
传感器网络:
通过多次实验和得出电压与Stratix 10装置上攻击中心距离的关系(均以观察到的传感器的最小电压绘制)
在这里插入图片描述
尽量减少传感器数量:
研究了使用不同数量的传感器可以精确定位攻击者,使用给定传感器子集的x个位置预测的平均值与利用所有218个传感器的x个定位预测的平均之间的欧几里德距离。每种配置的距离误差以LAB表示。实验表明,传感器数量于距离的关系如下:(当使用所有218个传感器时,70个传感器预测平均预测攻击中心距离预测中心14个LAB)
在这里插入图片描述

片上监控和攻击抑制

增强了上部分中描述的电压传感网络,以包括直接补救措施来阻止电压攻击。该网络增加了处理能力和时钟节流电路,用于疑似功耗区域。我们的解决方案是使用一个试图使基于FPGA的电路板崩溃的基于AES的浪费器进行评估的。
方法:在攻击开始时快速响应FPGA电压的显著下降,一旦超过预期的电压降,立即停用相关区域的时钟缓冲器,从而抑制攻击。

5.2.1 时钟区域和传感器

5.2.2阈值校准

5.2.3攻击检测和补救

5.3系统评估

5.4限制

结论和未来工作

结论:

评估了潜在攻击者可以在多租户FPGA平台中实现的功耗电路,对电路的功率效率进行了评估。

描述了一种新的基于FPGA的补救方法,该方法实时收集来自多个租户的电压值,并将时钟停用到任何涉嫌恶意行为的区域。我们的方法可以在21µs内响应攻击,并成功防止了导致电路板复位一系列电压攻击。

未来工作

虽然我们的方法可以抑制电路板复位,但其速度不够快,无法防止相邻电路中的功耗导致的定时故障

本文中讨论的监控系统评估检查了浪费者被限制在单个租户区域的攻击场景,并且可以扩展到考虑具有多个恶意租户的场景。

Tjyuking
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
学习笔记——Neural Cleanse——Identifying and Mitigating Backdoor Attacks in Neural Networks
弹剑听潮
09-17 2945
神经网络清理 - 识别和减轻神经网络中的后门攻击 背景:深度神经网络(DNN)缺乏透明度(即在训练时无法观察到内部),故易受到后门的攻击,隐藏的关联和触发器会覆盖正常的分类。 针对此问题,本文提出了第一个稳健的、通用的DNN后门攻击检测和缓解系统。 技术:识别后门并且重建可能的触发点。通过输入过滤器、神经元剪枝和忘却学习来识别多种缓解技术。 (在安全领域,DNN被用于恶意软件分类、二进制逆...
【文献阅读】Remote Power Attacks on the Versatile Tensor Accelerator in Multi-Tenant FPGAs
weixin_45587004的博客
02-25 490
FPGA上实现基于功耗的侧信道攻击,实现得到multi-tenant上victim的模型信息。 现有针对FPGA远程攻击方案较少,现有方案需要物理接触的限制。 实现在multi-tenant fpga上实现了对VTA进行攻击,通过TDC检测VTA执行能量消耗,逆向工程得到在VTA上执行模型的结构和层的类型。 创新点是不需要物理接触、不需要监控bus和memory,不需要提前知道模型细节。之前提出的攻击方案没有考虑到VTA利用TLPP并行执行多条指令。 难点在于VTA使用statically-schedul
论文阅读笔记】DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection
leticia_m的博客
02-21 642
论文阅读笔记DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection,区分中毒客户端模型与良性客户端模型
Understanding and mitigating gradient pathologies in physics-informed neural networks.
山里娃的博客
12-18 1169
论文信息 题目:Understanding and mitigating gradient pathologies in physics-informed neural networks. 作者及单位: Sifan Wang(Graduate Group in Applied Mathematics and Computational Science University of Pennsylvania Philadelphia) Yujun Teng(Department of Mechanichal E
DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection论文阅读报告
mental的博客
11-04 955
联邦学习(FL)允许多个客户在其私有数据上协作训练神经网络(NN)模型,而不会泄露数据。最近,针对FL的几起针对性中毒袭击事件已经出台。这些攻击为生成的模型注入了后门,使得对手控制的输入被错误分类。现有的反后门攻击的对策效率低下,通常只是为了将偏离模型排除在聚合之外。然而,这种方法还删除了具有偏差数据分布的客户机的良性模型,从而导致聚合模型对此类客户机的性能不佳。为了解决这个问题,我们提出了DeepSight,一种用于缓解后门攻击的新型模型过滤方法。
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 2105
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
论文笔记:Keyforge: Mitigating email breaches with forward-forgeable signatures
日常学习记录,随缘更新
11-28 720
Time:用离散的时间步对时间进行建模,并假设每个人都可以使用相当精确的本地时钟。Asynchrony.考虑到电子邮件的异步性质,Δ^Δ^表示电子邮件发送所需的时间的上限。评估将Δ^Δ^设置为15分钟。DNS:我们的模型假设所有各方和算法都可以访问DNS,并可以更新自己的DNS记录Publication:我们假设每一方都有发布持久的、可更新的信息的方法,这些信息可以被所有其他方和算法检索。这可以通过DNS或其他媒介,如在网站上发布信息。
Mitigating Sybils in Federated Learning Poisoning(FoolsGold)论文阅读笔记
m0_53662700的博客
01-12 782
在本文中,我们首先评估了联邦学习对sybil-base的中毒攻击的脆弱性。然后我们描述了FoolsGold,这是一种针对该问题的新颖防御方法,它基于分布式学习过程中客户端更新的多样性来识别中毒sybil。与以前的工作不同,我们的系统不限制预期的攻击者数量,不需要学习过程之外的辅助信息,并且对客户端及其数据做出更少的假设。在我们的评估中,我们表明FoolsGold超越了现有最先进的方法来对抗基于符号的标签翻转和后门中毒攻击的能力。我们的结果适用于不同的客户数据分布、不同的中毒目标和不同的攻击策略。
Mitigating Object Hallucinations in Large Vision-Language Models through Visual Contrastive Decoding
Mars_prime的博客
12-04 1510
大视觉语言模型(LVLM)已经取得了长足的进步,将视觉识别和语言理解交织在一起,生成不仅连贯而且与上下文相协调的内容。尽管取得了成功,LVLM 仍然面临物体幻觉的问题,即模型生成看似合理但不正确的输出,其中包括图像中不存在的物体。为了缓解这个问题,我们引入了视觉对比解码(VCD),这是一种简单且无需训练的方法,可以对比源自原始视觉输入和扭曲视觉输入的输出分布。所提出的 VCD 有效减少了对统计偏差和单峰先验的过度依赖,这是物体幻觉的两个重要原因。
Mitigating-Gender-Bias-in-Generated-Text:重现“女王也很强大
03-16
设置该存储库的目的是提供对代码和数据的访问,该代码和数据用于编写和论文 。 的原始论文利用进行培训,评估和文本生成。 这些论文中使用的模型是一个88M参数转换器,具有16个关注头,8个编码器层,8个解码器层,...
Attacks in Cognitive Radio Networks
03-22
在无线通信系统中,频谱资源的稀缺一直是系统设计的一个重要方面,因此认知无线电网络的研究变得非常重要。认知无线电网络能够使网络B的用户利用网络A中未使用的频谱资源,这些用户在访问网络A时便成为其“次级用户...
Mitigating end effects of EMD using non-equidistance grey model
02-21
本文的标题为《利用非等距离灰色模型缓解EMD的末端效应》,该研究针对经验模式分解(EMD)方法的末端效应问题提出了一种新方法,即非等距离灰色模型(NGM)的一种形式,即NGM(1,1)。该方法通过提高累积生成操作(AGO...
Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack
02-08
Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack
Windows Kernel Attacks through User-Mode Callbacks (Black Hat USA 2011)-计算机科学
04-22
Kernel Attacks through User- Mode CallbacksTarjei MandtBlack Hat USA 201111. august 2011Who am I• Security Researcher at Norman• Malware Detection Team (MDT)• Interests• Vulnerability research• ...
论文阅读】APMSA: Adversarial Perturbation Against Model Stealing Attacks(2023)
Glass_Gun的博客
08-20 1081
换句话说,对于威胁模型隐私的模型窃取攻击,利用API查询公共数据的可接受次数(即通常较小),并从MUA获取返回的预测,以构建用于训练替代/被盗模型的“传输数据集”,从而危及MUA的隐私并破坏其业务价值。值得注意的是,除了私下使用被盗模型进行进一步的免费查询外,被盗模型还可以用来制作可转移的对抗示例来欺骗MUA[12],[13]。攻击者通过私有模型提供的付费查询服务(即MLaaS提供的API),对查询的输入x获得预测y,在某些情况下,返回的预测通常是概率向量(即x属于特定类别的置信度)或标签(top-1)。
论文阅读】GLiRA: Black-Box Membership Inference Attack via Knowledge Distillation
最新发布
Glass_Gun的博客
08-23 467
Membership inference attack,成员推理攻击。knowledge distillation,知识蒸馏。trustworthy AI,可信人工智能。
VIT论文阅读: A Image is Worth 16x16 Words
qq_19859865的博客
08-18 547
在2024年,大家都知道了transformer的故事,但是在4年前, CNN和Transformer谁才是CV的未来,还没有那么确定。在简介部分,作者提到了一个令人失望的事实,在基于imagenet的实验中发现,transformer的表现差于同尺寸的ResNet。作者把原因归结到bias translation equivariance and locality,这些CNN具有,但是transformer不具有的特性上。如下图【1】
Swin-Transformer论文阅读
qq_19859865的博客
08-20 881
在CNN对于图像分类,目标检测等问题的探索中,大家已经发现,母舰检测,语义分割这类任务,相比于图像分类对于网络backbone有着不一样的需求。而基于vit对于图像分类问题的探索,接下来,大家可以依葫芦画瓢,尝试解决更有挑战的问题了。关于目标检测,语义分割这类任务,通常需要网络具有分层提取不同颗粒度的特征,并且,网络的是输入可能是更高分辨率的图像,输出也是更精细的特征,比如语义分割的mask。
Deep reinforcement learning control approach to mitigating actuator attacks代码
05-19
很抱歉,我不是一个代码生成器,但我可以向您解释深度强化学习控制方法来缓解执行器攻击。 在控制系统中,执行器是控制信号的物理实现,例如电机或阀门等。执行器的故障或攻击可能会导致系统失控或无法正常工作,因此保护执行器是控制系统安全性的重要方面之一。 深度强化学习是一种机器学习方法,可以用于控制系统中的决策制定。在缓解执行器攻击的情况下,深度强化学习可以通过以下步骤实现: 1. 建立一个模型,该模型使用传感器数据和执行器输入作为输入,并输出下一时刻的状态和执行器输出。这个模型可以是一个神经网络。 2. 使用深度强化学习算法(如Q学习或Actor-Critic算法)训练模型,以便在执行器受到攻击时,系统可以采取适当的行动。例如,可以将执行器输入限制在一个安全范围内,以避免对系统造成伤害。 3. 在实际控制系统中,使用训练好的模型来预测下一个状态,并将执行器输入限制在安全范围内。 通过这种方法,深度强化学习可以帮助控制系统在执行器受到攻击时保持安全,从而提高系统的鲁棒性和可靠性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值