論文の概要: RADAR: Run-time Adversarial Weight Attack Detection and Accuracy Recovery

• arxiv url: http://arxiv.org/abs/2101.08254v1
• Date: Wed, 20 Jan 2021 18:55:51 GMT
• ステータス: 処理完了
• システム内更新日: 2021-03-22 04:22:48.030181
• Title: RADAR: Run-time Adversarial Weight Attack Detection and Accuracy Recovery
• Title（参考訳）: radar: リアルタイムの対向的重み攻撃検出と精度回復
• Authors: Jingtao Li, Adnan Siraj Rakin, Zhezhi He, Deliang Fan, Chaitali Chakrabarti
• Abstract要約: プログレッシブビットフリップアタック(pbfa)のようなニューラルネットワークの重みに対する敵対的な攻撃は、非常に少ないビット数を反転させることで、精度の破滅的な低下を引き起こす可能性がある。 本稿では,リアルタイムの対向重み検出・精度回復手法であるRADARを提案する。
• 参考スコア（独自算出の注目度）: 38.893809691592644
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Adversarial attacks on Neural Network weights, such as the progressive bit-flip attack (PBFA), can cause a catastrophic degradation in accuracy by flipping a very small number of bits. Furthermore, PBFA can be conducted at run time on the weights stored in DRAM main memory. In this work, we propose RADAR, a Run-time adversarial weight Attack Detection and Accuracy Recovery scheme to protect DNN weights against PBFA. We organize weights that are interspersed in a layer into groups and employ a checksum-based algorithm on weights to derive a 2-bit signature for each group. At run time, the 2-bit signature is computed and compared with the securely stored golden signature to detect the bit-flip attacks in a group. After successful detection, we zero out all the weights in a group to mitigate the accuracy drop caused by malicious bit-flips. The proposed scheme is embedded in the inference computation stage. For the ResNet-18 ImageNet model, our method can detect 9.6 bit-flips out of 10 on average. For this model, the proposed accuracy recovery scheme can restore the accuracy from below 1% caused by 10 bit flips to above 69%. The proposed method has extremely low time and storage overhead. System-level simulation on gem5 shows that RADAR only adds <1% to the inference time, making this scheme highly suitable for run-time attack detection and mitigation.
• Abstract（参考訳）: プログレッシブビットフリップ攻撃(PBFA)のようなニューラルネットワークの重みに対する敵対的攻撃は、非常に少数のビットを反転させることで、精度が壊滅的に低下する。 さらに、PBFAは、DRAMメインメモリに格納された重みに基づいて実行時に行うことができる。 本研究では,PBFAに対するDNN重み保護のためのリアルタイム対向重み検出・精度回復手法であるRADARを提案する。 重みを層に挟む重みをグループに整理し,重みのチェックサムに基づくアルゴリズムを用いて各グループの2ビットシグネチャを導出する。 実行時に、2ビットのシグネチャを計算し、セキュアに保存されたゴールデンシグネチャと比較して、グループ内のビットフリップ攻撃を検出する。 検出に成功した後、悪意のあるビットフリップによる精度低下を軽減するために、グループ内のすべての重みをゼロにする。 提案手法は推論計算段階に組み込まれている。 resnet-18イメージネットモデルでは、平均10ビット中9.6ビットフリップを検出できる。 このモデルでは、10ビットのフリップによる精度を1%以下から69%以上まで回復することができる。 提案手法は, 時間とストレージのオーバーヘッドが極めて低い。 gem5のシステムレベルでのシミュレーションでは、RADARは推論時間に1%しか追加せず、このスキームは実行時の攻撃検出と緩和に非常に適している。

関連論文リスト

• One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
  メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。 本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
  論文  参考訳（メタデータ） (2023-08-12T09:34:43Z)
• Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
  我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。 修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。 効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
  論文  参考訳（メタデータ） (2022-12-30T18:45:23Z)
• Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
  本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。 有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。 SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
  論文  参考訳（メタデータ） (2022-07-25T03:24:58Z)
• UNBUS: Uncertainty-aware Deep Botnet Detection System in Presence of Perturbed Samples [1.2691047660244335]
  ボットネット検出には極めて低い偽陽性率(FPR)が必要であるが、現代のディープラーニングでは一般的に達成できない。 本稿では,98%以上の精度のボットネット分類のためのLSTMに基づく2つの分類アルゴリズムについて述べる。
  論文  参考訳（メタデータ） (2022-04-18T21:49:14Z)
• Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
  少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。 近年の取り組みは、他の等級のl_infty摂動と組み合わせている。 本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2021-06-10T20:11:36Z)
• Targeted Attack against Deep Neural Networks via Flipping Limited Weight Bits [55.740716446995805]
  我々は,悪質な目的で展開段階におけるモデルパラメータを修飾する新しい攻撃パラダイムについて検討する。 私たちのゴールは、特定のサンプルをサンプル修正なしでターゲットクラスに誤分類することです。 整数プログラミングにおける最新の手法を利用することで、このBIP問題を連続最適化問題として等価に再構成する。
  論文  参考訳（メタデータ） (2021-02-21T03:13:27Z)
• Mitigating Backdoor Attacks in Federated Learning [9.582197388445204]
  トレーニング段階以降のバックドア攻撃を緩和するための,新しい効果的手法を提案する。 具体的には、ネットワーク内の冗長ニューロンを除去し、モデルの極端な重み付け値を調整するためのフェデレートプルーニング法を設計する。 分散Fashion-MNIST実験により, 平均攻撃成功率は99.7%から1.9%に低下し, テスト精度は5.5%低下した。
  論文  参考訳（メタデータ） (2020-10-28T18:39:28Z)
• Confusing and Detecting ML Adversarial Attacks with Injected Attractors [13.939695351344538]
  機械学習の敵対攻撃は、攻撃対象関数の勾配に従えば、被害者モデル$mathcal M$の敵サンプルを見つける。 攻撃をいくつかの局所的な最小限に誤誘導することを目的として,これらの機能を積極的に修正するアプローチを採っている。 我々は,透かし方式のデコーダがアトラクタの特性を示すことを観察し,アトラクタを被害者モデルに注入する汎用的な方法を提案する。
  論文  参考訳（メタデータ） (2020-03-05T16:02:11Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。