論文の概要: Robust and Verifiable Information Embedding Attacks to Deep Neural
Networks via Error-Correcting Codes
- arxiv url: http://arxiv.org/abs/2010.13751v1
- Date: Mon, 26 Oct 2020 17:42:42 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-02 20:17:45.753584
- Title: Robust and Verifiable Information Embedding Attacks to Deep Neural
Networks via Error-Correcting Codes
- Title(参考訳): 誤り訂正符号によるニューラルネットワークへのロバストで検証可能な情報埋め込み攻撃
- Authors: Jinyuan Jia, Binghui Wang, Neil Zhenqiang Gong
- Abstract要約: ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを使用して、ディープニューラルネットワーク(DNN)分類器をトレーニングすることが多い。
情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティの機械学習ツールを提供する。
本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
- 参考スコア(独自算出の注目度): 81.85509264573948
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In the era of deep learning, a user often leverages a third-party machine
learning tool to train a deep neural network (DNN) classifier and then deploys
the classifier as an end-user software product or a cloud service. In an
information embedding attack, an attacker is the provider of a malicious
third-party machine learning tool. The attacker embeds a message into the DNN
classifier during training and recovers the message via querying the API of the
black-box classifier after the user deploys it. Information embedding attacks
have attracted growing attention because of various applications such as
watermarking DNN classifiers and compromising user privacy. State-of-the-art
information embedding attacks have two key limitations: 1) they cannot verify
the correctness of the recovered message, and 2) they are not robust against
post-processing of the classifier.
In this work, we aim to design information embedding attacks that are
verifiable and robust against popular post-processing methods. Specifically, we
leverage Cyclic Redundancy Check to verify the correctness of the recovered
message. Moreover, to be robust against post-processing, we leverage Turbo
codes, a type of error-correcting codes, to encode the message before embedding
it to the DNN classifier. We propose to recover the message via adaptively
querying the classifier to save queries. Our adaptive recovery strategy
leverages the property of Turbo codes that supports error correcting with a
partial code. We evaluate our information embedding attacks using simulated
messages and apply them to three applications, where messages have semantic
interpretations. We consider 8 popular methods to post-process the classifier.
Our results show that our attacks can accurately and verifiably recover the
messages in all considered scenarios, while state-of-the-art attacks cannot
accurately recover the messages in many scenarios.
- Abstract(参考訳): ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを利用してディープニューラルネットワーク(DNN)分類器を訓練し、その分類器をエンドユーザのソフトウェア製品やクラウドサービスとしてデプロイする。
情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティ機械学習ツールのプロバイダである。
攻撃者は訓練中にDNN分類器にメッセージを埋め込み、ユーザがそれをデプロイした後、ブラックボックス分類器のAPIをクエリすることでメッセージを回復する。
情報埋め込み攻撃は、DNN分類器の透かしやユーザのプライバシの妥協など、様々な応用によって注目を集めている。
最先端の情報埋め込み攻撃には2つの重要な制限がある。
1) 復元したメッセージの正確性を検証することができない。
2) 分類器の処理後に対して頑健ではない。
本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
具体的には、サイクリック冗長チェックを利用して、回収されたメッセージの正確性を検証する。
さらに,後処理に対して頑健であるために,誤り訂正符号の一種であるturbo codesを利用して,dnn分類器に埋め込む前にメッセージをエンコードする。
我々は,クエリを保存するために分類器を適応的にクエリすることで,メッセージを回復することを提案する。
適応的回復戦略は部分符号による誤り訂正をサポートするターボ符号の特性を利用する。
我々は、シミュレートされたメッセージを用いて情報埋め込み攻撃を評価し、3つのアプリケーションに適用する。
分類器を後処理する8つの一般的な方法を考える。
以上の結果から,我々の攻撃はすべてのシナリオにおいて正確かつ検証可能なメッセージ復元が可能であり,多くのシナリオにおいて最先端の攻撃は正確にメッセージを復元できないことがわかった。
関連論文リスト
- An investigation into the performances of the Current state-of-the-art Naive Bayes, Non-Bayesian and Deep Learning Based Classifier for Phishing Detection: A Survey [0.9567504785687562]
フィッシングは、サイバー犯罪者が潜在的な犠牲者から機密情報を入手する最も効果的な方法の1つである。
本研究では,最先端の機械学習とディープラーニングフィッシング検出技術について概説した。
論文 参考訳(メタデータ) (2024-11-24T05:20:09Z) - OrderBkd: Textual backdoor attack through repositioning [0.0]
サードパーティのデータセットと事前トレーニングされた機械学習モデルは、NLPシステムに脅威をもたらす。
既存のバックドア攻撃は、トークンの挿入や文のパラフレーズなどのデータサンプルを毒殺する。
これまでの研究との大きな違いは、文中の2つの単語の配置をトリガーとして使うことです。
論文 参考訳(メタデータ) (2024-02-12T14:53:37Z) - Can Sensitive Information Be Deleted From LLMs? Objectives for Defending
Against Extraction Attacks [73.53327403684676]
本稿では,モデル重みから直接センシティブな情報を削除する作業を研究するためのアタック・アンド・ディフェンスフレームワークを提案する。
モデル重み付けへの直接的編集について検討する。この手法は、削除された情報が将来的な攻撃によって抽出されないことを保証すべきである。
我々のホワイトボックスやブラックボックス攻撃は、編集されたモデルの38%から「削除された」情報を復元できるので、ROMEのような最先端のモデル編集方法でさえ、GPT-Jのようなモデルから事実情報を真に消し去るのに苦労している。
論文 参考訳(メタデータ) (2023-09-29T17:12:43Z) - Verifying the Robustness of Automatic Credibility Assessment [50.55687778699995]
入力テキストにおける意味保存的変化がモデルを誤解させる可能性があることを示す。
また、誤情報検出タスクにおける被害者モデルと攻撃方法の両方をテストするベンチマークであるBODEGAについても紹介する。
我々の実験結果によると、現代の大規模言語モデルは、以前のより小さなソリューションよりも攻撃に対して脆弱であることが多い。
論文 参考訳(メタデータ) (2023-03-14T16:11:47Z) - Learning to Unlearn: Instance-wise Unlearning for Pre-trained
Classifiers [71.70205894168039]
そこでは、事前訓練されたモデルからインスタンスのセットに関する情報を削除することを目標としています。
本稿では,1)表現レベルでの忘れを克服するために,敵の例を活用すること,2)不必要な情報を伝播するネットワークパラメータをピンポイントする重み付け指標を活用すること,の2つの方法を提案する。
論文 参考訳(メタデータ) (2023-01-27T07:53:50Z) - PETGEN: Personalized Text Generation Attack on Deep Sequence
Embedding-based Classification Models [9.630961791758168]
悪意のあるユーザは、行動を操作することによって、深い検出モデルを回避することができる。
ここでは、ディープユーザシーケンスの埋め込みに基づく分類モデルに対して、新たな逆攻撃モデルを作成する。
攻撃では、敵は分類器を騙すために新しいポストを生成する。
論文 参考訳(メタデータ) (2021-09-14T15:48:07Z) - Backdoor Attack against Speaker Verification [86.43395230456339]
学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。
また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
論文 参考訳(メタデータ) (2020-10-22T11:10:08Z) - Semantic-preserving Reinforcement Learning Attack Against Graph Neural
Networks for Malware Detection [6.173795262273582]
マルウェア検出のためのブラックボックスGNNに対する強化学習に基づくセマンティックス保存攻撃を提案する。
提案された攻撃では、強化学習を使用して、これらの「選択方法」を自動で行う。
論文 参考訳(メタデータ) (2020-09-11T18:30:35Z) - Anomaly Detection-Based Unknown Face Presentation Attack Detection [74.4918294453537]
異常検出に基づくスプーフ攻撃検出は、顔提示攻撃検出の最近の進歩である。
本稿では,異常検出に基づくスプーフ攻撃検出のためのディープラーニングソリューションを提案する。
提案手法はCNNの表現学習能力の恩恵を受け,fPADタスクの優れた特徴を学習する。
論文 参考訳(メタデータ) (2020-07-11T21:20:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。