DeepSloth : des chercheurs ont créé la première attaque DDoS contre l’IA

Des scientifiques de l’Université du Maryland ont développé une nouvelle attaque antagoniste qui peut forcer les systèmes d’apprentissage automatique à ralentir jusqu’à l’exploration. Ceci en taxant les serveurs et en provoquant peut-être des pannes critiques dans certaines applications.

Architectures multi-sorties

L’attaque neutralise les techniques d’optimisation qui accélèrent le fonctionnement des réseaux de neurones profonds. Les réseaux de neurones profonds, un type d’algorithme d’apprentissage automatique populaire, nécessitent parfois des gigaoctets de mémoire et des processeurs très puissants, les rendant  inaccessibles aux appareils IoT, smartphones et appareils portables à ressources limitées.

Beaucoup de ces appareils doivent envoyer leurs données à un serveur Cloud qui peut exécuter des modèles d’apprentissage en profondeur. Pour surmonter ces défis, les chercheurs ont inventé différentes techniques pour optimiser les réseaux de neurones pour les petits appareils. Les architectures multi-sorties, une technique d’optimisation unique, amènent les réseaux de neurones à arrêter le calcul dès qu’ils atteignent un seuil acceptable.

Une attaque antagoniste de ralentissement

Les modèles de sortie anticipée sont un concept relativement nouveau, mais suscite un intérêt croissant. En effet, les modèles d’apprentissage en profondeur deviennent de plus en plus coûteux en termes de calcul et les chercheurs recherchent des moyens de les rendre plus efficaces.

Dumitras et ses collaborateurs ont développé une attaque antagoniste de ralentissement qui cible l’efficacité des réseaux de neurones à sorties multiples. Appelée DeepSloth, l’attaque apporte des modifications subtiles aux données d’entrée pour empêcher les réseaux de neurones de faire des sorties prématurées et les forcer à effectuer des calculs complets.

DeepSloth testé sur diverses architectures à sorties multiples

DeepMind

Les attaques de ralentissement ont le potentiel de nier les avantages des architectures à sorties multiples. Ces dernières peuvent réduire de moitié la consommation d’énergie d’un modèle DNN au moment de l’inférence. Et les chercheurs ont montré que pour toute entrée, ils peuvent créer une perturbation qui efface complètement ces économies.

Les chercheurs ont testé DeepSloth sur diverses architectures à sorties multiples. Dans les cas où les attaquants avaient une connaissance complète de l’architecture du modèle cible, les attaques de ralentissement réduisaient l’efficacité de sortie anticipée de 90 à 100%. Même lorsque l’attaquant ne dispose pas d’informations exactes sur le modèle cible, DeepSloth a quand même réduit l’efficacité de 5 à 45%.

L’équivalent d’une attaque par déni de service

C’est l’équivalent d’une attaque par déni de service (DoS) sur les réseaux de neurones. Lorsque les modèles sont servis directement à partir d’un serveur, DeepSloth peut occuper les ressources du serveur et l’empêcher d’utiliser sa pleine capacité. Dans les cas où un réseau à sorties multiples est divisé entre un appareil de périphérie et le Cloud, cela pourrait forcer l’appareil à envoyer toutes ses données au serveur, ce qui peut causer des dommages de différentes manières.

Dans un scénario typique des déploiements IoT, où le modèle est partitionné entre les périphériques de périphérie et le cloud, DeepSloth amplifie la latence de 1,5 à 5 fois, annulant les avantages du partitionnement du modèle. Cela pourrait amener l’appareil de périphérie à manquer de délais critiques. Les chercheurs ont constaté que la formation antagoniste, la norme de protection des modèles d’apprentissage automatique contre les attaques adverses, n’est pas efficace contre les attaques DeepSloth.