論文の概要: Quantization Backdoors to Deep Learning Models
- arxiv url: http://arxiv.org/abs/2108.09187v1
- Date: Fri, 20 Aug 2021 14:08:23 GMT
- ステータス: 処理完了
- システム内更新日: 2021-08-23 13:34:09.333203
- Title: Quantization Backdoors to Deep Learning Models
- Title(参考訳): ディープラーニングモデルへの量子化バックドア
- Authors: Hua Ma, Huming Qiu, Yansong Gao, Zhi Zhang, Alsharif Abuadbba, Anmin
Fu, Said Al-Sarawi, Derek Abbott
- Abstract要約: 標準量子化操作を悪用してバックドアを起動できることが示される。
バックドアは 量子化モデルで起動され 攻撃成功率は 100%に近い
この研究は、エンドユーザーがデバイス上でトレーニング後の量子化ツールキットを使用すると、ステルスセキュリティの脅威が生じることを強調している。
- 参考スコア(独自算出の注目度): 10.468717803934771
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: There is currently a burgeoning demand for deploying deep learning (DL)
models on ubiquitous edge Internet of Things devices attributing to their low
latency and high privacy preservation. However, DL models are often large in
size and require large-scale computation, which prevents them from being placed
directly onto IoT devices where resources are constrained and 32-bit
floating-point operations are unavailable. Model quantization is a pragmatic
solution, which enables DL deployment on mobile devices and embedded systems by
effortlessly post-quantizing a large high-precision model into a small
low-precision model while retaining the model inference accuracy.
This work reveals that the standard quantization operation can be abused to
activate a backdoor. We demonstrate that a full-precision backdoored model that
does not have any backdoor effect in the presence of a trigger -- as the
backdoor is dormant -- can be activated by the default TensorFlow-Lite
quantization, the only product-ready quantization framework to date. We
ascertain that all trained float-32 backdoored models exhibit no backdoor
effect even in the presence of trigger inputs. State-of-the-art frontend
detection approaches, such as Neural Cleanse and STRIP, fail to identify the
backdoor in the float-32 models. When each of the float-32 models is converted
into an int-8 format model through the standard TFLite post-training
quantization, the backdoor is activated in the quantized model, which shows a
stable attack success rate close to 100% upon inputs with the trigger, while
behaves normally upon non-trigger inputs. This work highlights that a stealthy
security threat occurs when end users utilize the on-device post-training model
quantization toolkits, informing security researchers of cross-platform
overhaul of DL models post quantization even if they pass frontend inspections.
- Abstract(参考訳): 現在、ディープラーニング(DL)モデルをユビキタスエッジのInternet of Thingsデバイスにデプロイする需要は急増している。
しかし、DLモデルは多くの場合、サイズが大きく、大規模な計算を必要とするため、リソースが制限され32ビット浮動小数点演算が利用できないIoTデバイスに直接配置できない。
モデル量子化(model quantization)は実用的なソリューションであり、大きな高精度モデルから小さな低精度モデルに、モデル推論精度を保ちつつ、無益に計算後、モバイルデバイスや組み込みシステムへのdlデプロイを可能にする。
この研究は、標準的な量子化操作を悪用してバックドアを起動できることを明らかにする。
我々は、バックドアが休眠状態であるためにトリガーの存在下でバックドア効果を持たない完全な精度のバックドアモデルが、これまで唯一製品対応の量子化フレームワークであるデフォルトのtensorflow-lite量子化によって活性化できることを実証する。
すべての訓練されたフロート-32バックドアモデルがトリガー入力の存在下においてもバックドア効果を示さないことを確認した。
Neural CleanseやSTRIPといった最先端のフロントエンド検出アプローチは、float-32モデルのバックドアを識別できない。
フロート32の各モデルが標準のtflite後トレーニング量子化によってint-8フォーマットモデルに変換されると、バックドアは量子化モデルで活性化され、トリガーで入力すると100%近い攻撃成功率を示し、トリガーでない入力では正常に振る舞う。
この研究は、エンドユーザがオンデバイストレーニング後のモデル量子化ツールキットを使用して、フロントエンドの検査をパスしてもdlモデルのクロスプラットフォームオーバーホールをセキュリティ研究者に通知することで、ステルス的なセキュリティ脅威が発生することを強調する。
関連論文リスト
- ASPIRER: Bypassing System Prompts With Permutation-based Backdoors in LLMs [17.853862145962292]
システムプロンプトを体系的に回避する新しいバックドアアタックを導入する。
本手法は,98.58%のクリーン精度(CACC)を維持しつつ,攻撃成功率(ASR)を99.50%まで達成する。
論文 参考訳(メタデータ) (2024-10-05T02:58:20Z) - Privacy Backdoors: Enhancing Membership Inference through Poisoning Pre-trained Models [112.48136829374741]
本稿では、プライバシーバックドア攻撃という新たな脆弱性を明らかにします。
被害者がバックドアモデルに微調整を行った場合、トレーニングデータは通常のモデルに微調整された場合よりも大幅に高い速度でリークされる。
我々の発見は、機械学習コミュニティにおける重要なプライバシー上の懸念を浮き彫りにし、オープンソースの事前訓練モデルの使用における安全性プロトコルの再評価を求めている。
論文 参考訳(メタデータ) (2024-04-01T16:50:54Z) - Watermarking LLMs with Weight Quantization [61.63899115699713]
本稿では,大規模言語モデルの量子化過程に透かしを植え付ける新しい透かし戦略を提案する。
GPT-Neo や LLaMA など,オープンソースの大規模言語モデルに透かしを組み込むことに成功した。
論文 参考訳(メタデータ) (2023-10-17T13:06:59Z) - Fault Injection and Safe-Error Attack for Extraction of Embedded Neural Network Models [1.2499537119440245]
モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。
攻撃を成功させるためのブラックボックス手法を提案する。
古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
論文 参考訳(メタデータ) (2023-08-31T13:09:33Z) - One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
論文 参考訳(メタデータ) (2023-08-12T09:34:43Z) - QuMoS: A Framework for Preserving Security of Quantum Machine Learning
Model [10.543277412560233]
セキュリティは常に、機械学習(ML)アプリケーションにおいて重要な問題でした。
モデルステアリング攻撃は最も基本的な問題だが重要な問題の一つである。
モデルセキュリティを維持するための新しいフレームワーク、QuMoSを提案する。
論文 参考訳(メタデータ) (2023-04-23T01:17:43Z) - Publishing Efficient On-device Models Increases Adversarial
Vulnerability [58.6975494957865]
本稿では,大規模モデルのオンデバイス版を公開する際のセキュリティ上の考慮事項について検討する。
まず、敵がデバイス上のモデルを悪用し、大きなモデルを攻撃しやすくすることを示す。
次に、フルスケールと効率的なモデルとの類似性が増加するにつれて、脆弱性が増加することを示す。
論文 参考訳(メタデータ) (2022-12-28T05:05:58Z) - Backdoor Attacks on Crowd Counting [63.90533357815404]
クラウドカウント(Crowd counting)は、シーンイメージ内の人数を推定する回帰タスクである。
本稿では,深層学習に基づくクラウドカウントモデルのバックドア攻撃に対する脆弱性について検討する。
論文 参考訳(メタデータ) (2022-07-12T16:17:01Z) - DeepSight: Mitigating Backdoor Attacks in Federated Learning Through
Deep Model Inspection [26.593268413299228]
フェデレートラーニング(FL)では、複数のクライアントが、データを公開せずに、プライベートデータ上でニューラルネットワーク(NN)モデルを協調的にトレーニングすることができる。
DeepSightは、バックドア攻撃を緩和するための新しいモデルフィルタリングアプローチである。
モデルの性能に悪影響を及ぼすことなく、最先端のバックドア攻撃を軽減できることを示す。
論文 参考訳(メタデータ) (2022-01-03T17:10:07Z) - Qu-ANTI-zation: Exploiting Quantization Artifacts for Achieving
Adversarial Outcomes [5.865029600972316]
量子化(quantization)は、ニューラルネットワークのパラメータ表現を浮動小数点数から低精度の数値に変換する技術である。
逆量子化結果を実装するための新しいトレーニングフレームワークを提案する。
1つの妥協されたモデルが複数の量子化スキームを破ることを示す。
論文 参考訳(メタデータ) (2021-10-26T10:09:49Z) - Model Watermarking for Image Processing Networks [120.918532981871]
深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。
画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2020-02-25T18:36:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。