Cybersecurity in Brain-Computer Interfaces:State-of-the-art, opportunities, and future challenges
背景介绍
摘要
- 脑机接口(Brain Computer Interface,BCI)是近些年来出现的涉及神经科学、认知科学、计算机科学、控制及信息科学与技术、医学等多学科、多领域的人机接口方式,是在大脑与外部环境之间建立的神经信息交流与控制通道。
- 从最初的医学到近期的娱乐,BCI的应用领域不断演变,其趋势也在朝着brain-to-brain(BtB) brain-to-the-Internet(BtI)两范式不断发展
- 随着BCI技术的不断发展,与其相关的网络安全问题也逐渐得到了关注,现有文献工作已检测到某些影响BCI完整性,机密性,可用性和安全性的网络安全攻击,但并不全面。
- 本文主要工作:本文详尽地介绍了BCI系统,并从网络安全和安全的角度对BCIs的技术现状进行了全面而系统的分析,从分类,体系结构设计和实现等角度评估了BCI解决方案可能遭受的风险,攻击,以及之后的影响和对应的对策。
评价指标
- 完整性(Integrity):保护用户的神经和私有数据,使其不能在发送者和接收者之间被操纵。
- 机密性(Confidentiality):对数据进行限制,以确保只有授权用户可访问这些数据。
- 可用性(Availability):对服务或其数据的管理进行保证,以确保其可以正常运行。
- 安全性(Safety):保护用户的物理完整性,使其不会因使用系统而受到负面影响。
双向BCI的一般功能
- 以蓝色表示的顺时针方向表示获取神经数据的过程
- 以红色表示的逆时针方向表示刺激大脑的过
BCI分类及对应安全风险
BCI分类-BCI的设计
BCI的设计决定了谁负责启动神经数据采集过程以及如何执行该过程。 即根据神经数据采集过程是由用户还是由BCI触发的,以及如何进行交互以执行预期的操作而进行分类,我们得到四种类别:
- 主动型(active):是指用户通过直接且有意识的大脑活动来控制外部设备的一类BCI系统,例如对肢体运动进行想象,然后由BCI捕获。
- 被动型(passive) :是指能够读取用户认知状态变化并用于人-机交互系统的一类BCI系统,它无需用户主动控制。其专注于获取自发性和非诱发性大脑活动,这些活动通常是指复杂的现实世界任务。
- 反应型(reactive):是指通过解码大脑对外界刺激所引起的特定响应,来间接地表达出大脑意图的一类BCI系统。
- 混合型(hybrid):1.接收不同大脑的信号作为输入,例如,脑电图(EEG)和肌电图(EMG)的组合可提高准确性并增强应用程序性能。 2.至少上述三类中的一种+非BCI技术的组合。
- 本文认为恶意外部刺激是最具破坏性的刺激,例如利用对抗攻击,向用户或BCI提供恶意输入以获得收益
- 主动型BCI的用户能够停止BCI的运行
- 多个分类的各个方面结合在一起的解决方案通常会导致其风险汇总
BCI分类-BCI技术
BCI也根据其技术进行区分,其中会根据是否要获取神经数据或用于刺激大脑而产生两个附加的子类别。
- 脑电波的采集方面,最具代表性的技术是脑电图(EEG),功能磁共振成像(fMRI),脑磁图(MEG),皮层脑电图(ECoG)等
- 脑刺激的技术,包括经颅磁刺激(TMS),经颅电刺激(tES),经颅聚焦超声(tFUS),深部脑刺激(DBS)等
BCI分类-侵入程度
侵入程度表明BCI设备是植入用户体内,还是放置在外部。依据不同的侵入程度,我们可以划分三类:侵入式、半侵入式以及非侵入式。
- 侵入式(invasive BCI):即通过开颅手术等方式,向脑组织内植入传感器以获取信号的设备
- 半侵入式(Partially invasive BCI):即安置在大脑皮层表面接收信号的设备
- 非侵入式(Non-invasive BCI):即在头骨外检测信号的设备
BCI分类-同步/异步
此分类关注于BCI与用户之间的交互,根据哪一方控制记录和刺激过程以及在哪个时隙中进行控制,可分为同步、异步两类。
- 同步(synchronous) :在同步的BCI系统中,用户和BCI之间的交互是在特定时间段内发生的。 该计划由控制通信的BCI制定。 在这些时间段之外,BCI无法与用户通信。
- 异步(asynchronous):在异步系统中,用户可以随时生成大脑信号,而BCI对生成的事件做出反应
— - 主要问题是对BCI及其用户之间的通信失去控制
- 由于异步BCI在获取过程中的决策能力和意识较弱,因此存在恶意外部刺激,遭受对抗性攻击的风险
- 但考虑到用户在通信中的感知和控制能力,我们认为同步型BCI具有更高的风险,因为基于BCI的攻击比基于用户神经数据冒充的攻击更有可能实施。
BCI分类-应用场景
依据BCI不同的应用场景,可以将其分为四类:神经医学(Neuromedical),用户身份验证( User authentication ),游戏和娱乐( gaming and entertainment )以及基于智能手机的BCI(smartphone-based BCI)
- 神经医学:数十年来,神经医学应用领域一直是BCI研究的中心。在该领域中开发的应用范围从控制假肢和轮椅到使用BCI建立与完全瘫痪患者的简单沟通系统
- 用户身份验证:BCI是一个很好的生物识别元素,因为每个大脑都会生成独特的模式,并且可以修改触发身份验证过程的心理行为,从而启用自适应和灵活的身份验证机制。此外,脑信号很容易受到影响,很难得到复制
- 游戏和娱乐:与AR/VR进行融合,不通过感官来虚拟地模拟视觉,触觉,嗅觉和有效的整体感知
- 基于智能手机的BCI:基于BCI和存储在智能手机中的用户应用程序之间的关系,这是商业BCI品牌中最常见的使用场景
同质化BCI周期
Phase1-脑信号的产生
事件相关电位(Event Related Potential,ERP):它是对认知,感觉或运动刺激的神经生理反应,被检测为电压变化的一种模式。
P300:是在刺激后约300毫秒被检测为EEG信号振幅峰值的ERP,由于其快速响应而被广泛使用
安全威胁
- 攻击者通过对抗攻击,向系统呈现故意制作的输入以达到改变其正常功能的目的来改变大脑信号生成的机制
- 利用P300的潜力从测试对象那里获取私人信息,并证明了对机密性的攻击。攻击者以图像形式呈现视觉刺激,例如:4位密码,出生月份和人物照片。用户在面对已知刺激时会在P300电位上产生更高的峰值,因此能够提取私人信息。
解决对策
- 现有文献指出特定的培训课程有助于保护用户免受与认证方法和银行相关信息相关的潜在不安全刺激。不过,这些对策只能在用户意识到刺激的情况下应用的。正因为如此,我们认为,如果BCI辅之以监控其呈现刺激的外部系统,并给用户评估内容是否合适的概率,则可以减少此阶段的对抗性攻击。
Phase2-神经数据的获取与刺激
此阶段的重点是与大脑的相互作用,以获取脑电波或进行神经刺激。
安全威胁
- 重放攻击(Replay attacks):是指重新传输先前获取的神经数据以执行恶意操作。例如,冒充通信的合法参与者之一。这些攻击在计算机网络中得到了广泛的考虑(例如路由协议和身份验证机制)
- 欺骗攻击( spoofing attacks ):意图伪装通信实体,传输恶意数据。网络通信中常见的欺骗攻击包括IP欺骗、MAC欺骗和DNS欺骗
- 干扰攻击(jamming attacks):发射无线噪声信号,降低接收器侧的信噪比,从而通过影响无线通信的可用性
解决对策
- 关于检测和减轻重放和欺骗攻击的对策,计算机网络中使用的技术不适用于此场景,因为它们与特定的技术和协议有关。
- 本文认为在获取大脑信号场景中使用ML是一种有希望的替代方法,可以用于分析接收到的神经信息并检测不一致性,例如重复信号或代表性模式
- 对于干扰攻击,可以使用跳频扩频(FHSS)或直接序列扩频(DSSS)技术,以减少噪声的干扰,以及使用定向天线向大脑传输信号以避免干扰
Phase3-数据处理与转换
此阶段执行所需的数据处理和转换任务,以使神经数据和动作可以为后续阶段做好准备。
安全威胁
- 这一阶段现有文献还没有发现网络安全问题。 本文将恶意软件攻击确定为最具破坏力的攻击。 恶意软件攻击主要指旨在获得对计算设备的访问权以执行具体操作的恶意软件。恶意软件攻击会影响神经数据的获取和刺激,攻击者会更改或覆盖从先前阶段接收到的数据,从而生成发送到后续阶段的恶意数据。
解决对策
- 名为“脑机接口匿名化”的美国专利,该专利提出了一种能够处理神经信号以消除所有非必要私人信息的技术
- 防病毒解决方案可以执行静态和动态分析,以检测BCI系统中的异常情况。例如,通过使用签名来识别恶意软件类别,以研究其行为,从而避免软件感染。或使用ML异常检测系统来识别潜在的恶意软件威胁
- 考虑外围安全机制,例如防火墙和入侵检测系统(IDS),负责分析设备的所有传入和传出通信
Phase4-解码与编码
解码和编码是一个阶段,专注于识别用户在神经数据获取中打算采取的动作,或者指定神经刺激中的神经激发模式。
安全威胁
- 上一阶段中描述的相同类型的恶意软件也适用于当前的恶意软件。具体来说,它们可以为攻击者提供机会,以改变预期行动的标识或修改合法的触发方式。
- 本文认为在使用ML技术的情况下,对抗性攻击是此阶段最需关注的问题。
- 恶意软件会影响数据完整性和可用性,因为它可以更改或忽略从先前阶段接收到的数据,并覆盖当前阶段的输出。此外,恶意软件还会通过更改训练后的模型或ML算法来影响ML流程的可用性。考虑到数据机密性问题,恶意软件可以访问ML训练阶段中使用的功能,以及收集有关所用模型和算法的信息。
解决对策
- 数据清理:包括拒绝将对模型产生负面影响的样本,预处理和验证所有包含对抗性信息的输入。
- 有文献提出了一种适用于回归技术的针对中毒攻击的防御方法,该方法从训练数据集中抑制噪声和离群值。
- 此外,本文提到了可以在培训和测试阶段都应用的两种方法:差异隐私与同态加密
差异隐私在训练阶段应用了随机化技术,以保留信息的隐私,防止其泄露以防攻击
同态加密为ML系统提供了加密的信息,以保护用作输入信息的私密性
Phase5-应用
从数据获取来看,该阶段在执行用户通过其神经活动所预期的动作。这些动作的范围从与计算机或智能手机的交互到控制机器人肢体。从神经刺激的角度来看,应用程序是要传递到大脑的信息的切入点,例如假肢中的感觉刺激或认知增强。
安全威胁
- BCI的欺骗攻击:攻击者在其中创建了与原始应用相同的恶意应用,并将其提供给应用商店
- 恶意软件攻击也已被确定为该阶段的威胁,故上两阶段的分析,在此阶段仍然适用。
- 安全配置错误是另一种安全弱点,可能存在于应用程序堆栈的任何级别,影响网络服务,服务器,平台,数据库,框架,虚拟机,存储等各方面
- 当由于不安全的软件实现而可能访问越界内存空间时,就会发生缓冲区溢出(BO)攻击。具体而言,由于内存缓冲区的边界没有得到很好的管理,允许攻击者读取或写入位于缓冲区开始之前或结束之后的内存位置
-
解决对策
- 为了减轻欺骗攻击,有必要验证应用程序的合法性,并确保对应用程序商店进行充分的控制,当涉及恶意软件攻击时,针对数据处理和转换阶段建议的相同对策也适用于应用程序
- 对信息使用访问控制机制来限制其访问,从而减轻对其机密性攻击
- 作为应用程序管理过程的一部分,定期检查和更新配置参数对于抵抗攻击也具有积极的作用 对于缓冲区溢出攻击(BO),在软件需求阶段,重要的是定义一种防止BO的语言,例如Java,因为在C / C ++中,开发人员可以直接访问内存并且容易受到攻击。另外,一些编译器也提供了缓解BO的机制
BCI架构部署
依据BCI周期的实现及其应用场景的主要特征,本文将其分为两个主要系列,即本地BCI和全局BCI,下图显示了它们的元素之间的通信以及每个元素根据部署的类型实施的BCI周期的各个阶段。
本地BCI
本地BCI部署的特点是管理单个用户的神经获取和刺激过程。 这种架构通常在两个物理设备之间部署BCI阶段,如图10所示。第一个被标识为BCI设备,着重于神经获取和刺激程序(BCI周期的第1阶段),而BCI应用(第5阶段) 由近距离控制设备(NCD)执行,该设备是使用有线或无线通信链路控制BCI设备的PC或智能手机。 周期的第3阶段和第4阶段可以在两个设备中均等地实施,这种架构部署最普遍用于消费级BCI
全局BCI 全局BCI架构的重点是通过连接到互联网,管理多个用户的神经获取和刺激过程。该体系结构使用三种设备来部署组成BCI周期的各个阶段。BCI设备仍然专注于神经获取和刺激(阶段2),而NCD负责应用程序的执行(阶段5)以及转换和处理操作(阶段3)。最后,此体系结构中引入远程控制设备(RCD),它表示可通过Internet访问的一个或多个外部资源或服务,例如云计算和存储。由于它具有运行更复杂的应用程序和信息分析的资源,通常有它进行BCI周期的第4和第5阶段。
此体系结构与本地BCI描述的体系结构之间的主要区别在于:在本地BCI中,NCD不会将用户信息发送到外部服务器
安全威胁与对策汇总
BCI的发展趋势与挑战
BCI部署之间的互操作性:现有商业BCI品牌和设备的设计和实施只考虑特定场景的需求,当前的BCI解决方案是面向设备的,不具有兼容性。在这种情况下,BCI向物联网和云计算等范例发展的趋势将需要提高它们的互操作性,这对于确保BCI技术未来的扩展至关重要。这种同质化将使设计和部署新的协议和机制成为可能,对网络安全产生积极影响。 BCI设计的可扩展性:可扩展性是指业务连续性,即以动态方式添加新功能和应用场景的能力。现如今神经数据处理是按照预先设定的前提,以固定的方式进行的。这意味着组成BCI体系结构的每个层都执行特定的处理任务。由于每个应用场景都有其自身的需求和限制,全局BCI的发展趋势将需要新的自动和灵活的结构和处理机制来处理获得的神经数据。 数据保护:当前的BCI架构和部署没有考虑对神经数据和个人信息的保护。随着BCI向BtB等范式的发展,将需要存储和管理多个用户的个人和敏感数据。因此,未来的部署应确保以安全的方式传输和处理这些关键信息。本文提出开发基于策略的解决方案,即允许用户根据其特定的上下文定义其隐私偏好等
全文总结
本文从网络安全性和安全性的角度对BCI的技术水平进行了全局和全面的分析,从分类、体系结构设计和实现角度评估了BCI解决方案遭受的风险,攻击,影响和对策
在整理已有论文提出的风险与对策的基础上,提出了更多的存在风险与应对策略
对各种分类的分析得出哪些BCI系列更为敏感,对于未来的网络安全工作可以集中在哪些方面开展很有帮助。
提出了BCI周期的统一版本,其中包括神经获取和刺激过程
提供了有关BCI发展的趋势,当前BCI向互连设备的发展正在引起巨大的网络安全关注和挑战
讨论
1.BCI架构部署的具体解释?理论依据?研究此问题的价值所在?
- 全局BCI与本地BCI描述的体系结构之间的主要区别在于:在本地BCI中,NCD不会将用户信息发送到外部服务器。全局BCI的本质是引入云计算,扩展系统的计算能力。
2.我们可将BCI看作一个IOT设备,本文存在一些自身缺陷,未深入探讨BCI特有的安全威胁,所讨论的安全威胁均为IOT设备所共有的,缺乏特性。
3.对于BCI用于用户身份验证的相关疑问。
- BCI是一个很好的生物识别元素,因为每个大脑都会生成独特的模式,并且可以修改触发身份验证过程的心理行为,从而启用自适应和灵活的身份验证机制。此外,脑信号很容易受到影响,很难得到复制
4.如何理解 BCI可以修改触发身份验证过程的心理行为
- 用户在面对已知刺激时会在P300电位上产生更高的峰值,因此能够提取私人信息。例如给用户看各种排列的4位数字,当用户遇到熟悉的4位密码组合出现时,其打扰会产生ERP(事件相关电位)我们可以利用BCI设备去捕获异常的信号,从而进行信息推断。
