DeepChanger

Abstract

Bruken av AI teknologi er i dagens samfunn voksende, og brukes til mange dagligdagse formål. Med denne bruken kommer også bruk av AI for ondsinned bruk, med digitale angrep med hjelp av AI, eller angrep mot AI systemer. Denne oppgaven utforsker en ny måte digitale angrep mot AI systemer, hvor systemet angripes direkte, for å modifisere det og innstallere et eget nevralt netverk trent av angiperen, noe som fører til at systemet har funksjonalitet fra både originalt og angripers nettverk. Oppgaven ser også på måter man kan forhindre et slikt angrep, ved bruk av integritets-sjekk og autentisering av AI systemets kode og data. En annen måte å forsvare seg på omhandlet at AI systemet kjører tregere etter angrepet, noe som gjør det mulig å oppdage. Siden oppgaven viser til et praktisk fungerende angrep, vil det kunne føre med seg alvorlige konsekvenser dersom systemer med AI ikke forsvarer seg godt nok, som f. eks. selvkjørende biler.

Today, the use of Artificial Intelligence (AI) technology is ever-expanding and used in many daily life applications. With this expansion, so does the use of AI in performing cyber attacks and cyber-attacks targeted at AI system to circumvent or disrupt the AI system. This thesis explores a new method of performing an attack against AI systems by directly altering the neural network (NN) the AI system uses. The attack is made by merging a secondary network, trained by the attacker, with the original neural network, which results in a merged network displaying both networks’ functionality. The thesis also explores how this attack can be prevented by implementing integrity checks and authentication on the data and code, which make up the AI system. Another defensive measure is based on the increased execution time of the AI system because of the more extensive network. As the thesis successfully implemented a practical model of this attack, there could be severe consequences if precaution is not taken, especially in safety-critical systems, such as self-driving cars