論文の概要: Quantization Backdoors to Deep Learning Commercial Frameworks
- arxiv url: http://arxiv.org/abs/2108.09187v3
- Date: Thu, 27 Apr 2023 06:08:27 GMT
- ステータス: 処理完了
- システム内更新日: 2023-04-28 17:43:20.326646
- Title: Quantization Backdoors to Deep Learning Commercial Frameworks
- Title(参考訳): 商用フレームワークを深く学ぶための量子化バックドア
- Authors: Hua Ma, Huming Qiu, Yansong Gao, Zhi Zhang, Alsharif Abuadbba, Minhui
Xue, Anmin Fu, Zhang Jiliang, Said Al-Sarawi, Derek Abbott
- Abstract要約: 標準量子化ツールキットを悪用してバックドアを起動できることが示される。
この研究は、エンドユーザがデバイス上でトレーニング後の量子化フレームワークを使用すると、ステルスなセキュリティ脅威が発生することを強調している。
- 参考スコア(独自算出の注目度): 16.28615808834053
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Currently, there is a burgeoning demand for deploying deep learning (DL)
models on ubiquitous edge Internet of Things (IoT) devices attributed to their
low latency and high privacy preservation. However, DL models are often large
in size and require large-scale computation, which prevents them from being
placed directly onto IoT devices, where resources are constrained and 32-bit
floating-point (float-32) operations are unavailable. Commercial framework
(i.e., a set of toolkits) empowered model quantization is a pragmatic solution
that enables DL deployment on mobile devices and embedded systems by
effortlessly post-quantizing a large high-precision model (e.g., float-32) into
a small low-precision model (e.g., int-8) while retaining the model inference
accuracy. However, their usability might be threatened by security
vulnerabilities.
This work reveals that the standard quantization toolkits can be abused to
activate a backdoor. We demonstrate that a full-precision backdoored model
which does not have any backdoor effect in the presence of a trigger -- as the
backdoor is dormant -- can be activated by the default i) TensorFlow-Lite
(TFLite) quantization, the only product-ready quantization framework to date,
and ii) the beta released PyTorch Mobile framework. When each of the float-32
models is converted into an int-8 format model through the standard TFLite or
Pytorch Mobile framework's post-training quantization, the backdoor is
activated in the quantized model, which shows a stable attack success rate
close to 100% upon inputs with the trigger, while it behaves normally upon
non-trigger inputs. This work highlights that a stealthy security threat occurs
when an end user utilizes the on-device post-training model quantization
frameworks, informing security researchers of cross-platform overhaul of DL
models post quantization even if these models pass front-end backdoor
inspections.
- Abstract(参考訳): 現在、ディープラーニング(DL)モデルをユビキタスエッジのIoT(Internet of Things)デバイスにデプロイする需要は急増している。
しかし、DLモデルはサイズが大きく、大規模な計算を必要とするため、リソースの制約や32ビット浮動小数点(float-32)操作が利用できないIoTデバイスに直接配置できない。
商用フレームワーク(例えば、ツールキットのセット) エンパワードモデル量子化は、大きな高精度モデル(例えばfloat-32)を小さな低精度モデル(例えば、int-8)に計算し、モデル推論精度を維持して、モバイルデバイスや組み込みシステムへのdlデプロイを可能にする実用的なソリューションである。
しかし、そのユーザビリティはセキュリティ上の脆弱性によって脅かされる可能性がある。
この研究は、標準量子化ツールキットを悪用してバックドアを起動できることを明らかにする。
バックドアが停止している場合、トリガーの存在下でバックドア効果がない完全精度のバックドアモデルがデフォルトによってアクティベート可能であることを実証する。
一 TensorFlow-Lite(TFLite)量子化、現在まで唯一の製品対応量子化フレームワーク
ii) PyTorch Mobileフレームワークのベータ版。
float-32の各モデルが標準のtfliteまたはpytorch mobile frameworkのトレーニング後の量子化によってint-8フォーマットモデルに変換されると、バックドアは量子化モデルで活性化され、トリガーで入力された時に100%近い攻撃成功率を示すが、通常はトリガーでない入力で振る舞う。
この研究は、エンドユーザーがデバイス上でトレーニング後の量子化フレームワークを使用すると、秘密のセキュリティ脅威が発生することを強調し、これらのモデルがフロントエンドのバックドア検査をパスしても、DLモデルのクロスプラットフォームオーバーホールをセキュリティ研究者に通知する。
関連論文リスト
- ASPIRER: Bypassing System Prompts With Permutation-based Backdoors in LLMs [17.853862145962292]
システムプロンプトを体系的に回避する新しいバックドアアタックを導入する。
本手法は,98.58%のクリーン精度(CACC)を維持しつつ,攻撃成功率(ASR)を99.50%まで達成する。
論文 参考訳(メタデータ) (2024-10-05T02:58:20Z) - Privacy Backdoors: Enhancing Membership Inference through Poisoning Pre-trained Models [112.48136829374741]
本稿では、プライバシーバックドア攻撃という新たな脆弱性を明らかにします。
被害者がバックドアモデルに微調整を行った場合、トレーニングデータは通常のモデルに微調整された場合よりも大幅に高い速度でリークされる。
我々の発見は、機械学習コミュニティにおける重要なプライバシー上の懸念を浮き彫りにし、オープンソースの事前訓練モデルの使用における安全性プロトコルの再評価を求めている。
論文 参考訳(メタデータ) (2024-04-01T16:50:54Z) - Watermarking LLMs with Weight Quantization [61.63899115699713]
本稿では,大規模言語モデルの量子化過程に透かしを植え付ける新しい透かし戦略を提案する。
GPT-Neo や LLaMA など,オープンソースの大規模言語モデルに透かしを組み込むことに成功した。
論文 参考訳(メタデータ) (2023-10-17T13:06:59Z) - Fault Injection and Safe-Error Attack for Extraction of Embedded Neural
Network Models [1.3654846342364308]
モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。
攻撃を成功させるためのブラックボックス手法を提案する。
古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
論文 参考訳(メタデータ) (2023-08-31T13:09:33Z) - One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
論文 参考訳(メタデータ) (2023-08-12T09:34:43Z) - QuMoS: A Framework for Preserving Security of Quantum Machine Learning
Model [10.543277412560233]
セキュリティは常に、機械学習(ML)アプリケーションにおいて重要な問題でした。
モデルステアリング攻撃は最も基本的な問題だが重要な問題の一つである。
モデルセキュリティを維持するための新しいフレームワーク、QuMoSを提案する。
論文 参考訳(メタデータ) (2023-04-23T01:17:43Z) - Publishing Efficient On-device Models Increases Adversarial
Vulnerability [58.6975494957865]
本稿では,大規模モデルのオンデバイス版を公開する際のセキュリティ上の考慮事項について検討する。
まず、敵がデバイス上のモデルを悪用し、大きなモデルを攻撃しやすくすることを示す。
次に、フルスケールと効率的なモデルとの類似性が増加するにつれて、脆弱性が増加することを示す。
論文 参考訳(メタデータ) (2022-12-28T05:05:58Z) - Backdoor Attacks on Crowd Counting [63.90533357815404]
クラウドカウント(Crowd counting)は、シーンイメージ内の人数を推定する回帰タスクである。
本稿では,深層学習に基づくクラウドカウントモデルのバックドア攻撃に対する脆弱性について検討する。
論文 参考訳(メタデータ) (2022-07-12T16:17:01Z) - DeepSight: Mitigating Backdoor Attacks in Federated Learning Through
Deep Model Inspection [26.593268413299228]
フェデレートラーニング(FL)では、複数のクライアントが、データを公開せずに、プライベートデータ上でニューラルネットワーク(NN)モデルを協調的にトレーニングすることができる。
DeepSightは、バックドア攻撃を緩和するための新しいモデルフィルタリングアプローチである。
モデルの性能に悪影響を及ぼすことなく、最先端のバックドア攻撃を軽減できることを示す。
論文 参考訳(メタデータ) (2022-01-03T17:10:07Z) - Qu-ANTI-zation: Exploiting Quantization Artifacts for Achieving
Adversarial Outcomes [5.865029600972316]
量子化(quantization)は、ニューラルネットワークのパラメータ表現を浮動小数点数から低精度の数値に変換する技術である。
逆量子化結果を実装するための新しいトレーニングフレームワークを提案する。
1つの妥協されたモデルが複数の量子化スキームを破ることを示す。
論文 参考訳(メタデータ) (2021-10-26T10:09:49Z) - Model Watermarking for Image Processing Networks [120.918532981871]
深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。
画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2020-02-25T18:36:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。