論文の概要: DeepSteal: Advanced Model Extractions Leveraging Efficient Weight Stealing in Memories

• arxiv url: http://arxiv.org/abs/2111.04625v1
• Date: Mon, 8 Nov 2021 16:55:45 GMT
• ステータス: 処理完了
• システム内更新日: 2021-11-09 14:13:00.761922
• Title: DeepSteal: Advanced Model Extractions Leveraging Efficient Weight Stealing in Memories
• Title（参考訳）: DeepSteal: 記憶における効率的なウェイトステアリングを活用する高度なモデル抽出
• Authors: Adnan Siraj Rakin, Md Hafizul Islam Chowdhuryy, Fan Yao and Deliang Fan
• Abstract要約: Deep Neural Networks(DNN)のプライバシに対する大きな脅威の1つは、モデル抽出攻撃である。 最近の研究によると、ハードウェアベースのサイドチャネル攻撃はDNNモデル(例えばモデルアーキテクチャ)の内部知識を明らかにすることができる。 本稿では,メモリサイドチャネル攻撃の助けを借りてDNN重みを効果的に盗む,高度なモデル抽出攻撃フレームワークであるDeepStealを提案する。
• 参考スコア（独自算出の注目度）: 26.067920958354
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Recent advancements of Deep Neural Networks (DNNs) have seen widespread deployment in multiple security-sensitive domains. The need of resource-intensive training and use of valuable domain-specific training data have made these models a top intellectual property (IP) for model owners. One of the major threats to the DNN privacy is model extraction attacks where adversaries attempt to steal sensitive information in DNN models. Recent studies show hardware-based side channel attacks can reveal internal knowledge about DNN models (e.g., model architectures) However, to date, existing attacks cannot extract detailed model parameters (e.g., weights/biases). In this work, for the first time, we propose an advanced model extraction attack framework DeepSteal that effectively steals DNN weights with the aid of memory side-channel attack. Our proposed DeepSteal comprises two key stages. Firstly, we develop a new weight bit information extraction method, called HammerLeak, through adopting the rowhammer based hardware fault technique as the information leakage vector. HammerLeak leverages several novel system-level techniques tailed for DNN applications to enable fast and efficient weight stealing. Secondly, we propose a novel substitute model training algorithm with Mean Clustering weight penalty, which leverages the partial leaked bit information effectively and generates a substitute prototype of the target victim model. We evaluate this substitute model extraction method on three popular image datasets (e.g., CIFAR-10/100/GTSRB) and four DNN architectures (e.g., ResNet-18/34/Wide-ResNet/VGG-11). The extracted substitute model has successfully achieved more than 90 % test accuracy on deep residual networks for the CIFAR-10 dataset. Moreover, our extracted substitute model could also generate effective adversarial input samples to fool the victim model.
• Abstract（参考訳）: 近年のディープニューラルネットワーク(DNN)の進歩は、複数のセキュリティに敏感なドメインに広く展開されている。 リソース集約的なトレーニングと貴重なドメイン固有のトレーニングデータの使用の必要性から、これらのモデルはモデル所有者にとってトップ知的財産(ip)となっている。 DNNのプライバシーに対する大きな脅威の1つは、敵がDNNモデルの機密情報を盗もうとするモデル抽出攻撃である。 近年の研究では、ハードウェアベースのサイドチャネル攻撃は、DNNモデルに関する内部知識(例えば、モデルアーキテクチャ)を明らかにすることができるが、既存の攻撃では詳細なモデルパラメータ(例えば、重みやバイアス)を抽出することはできない。 本研究では,メモリサイドチャネル攻撃の助けを借りて,DNN重みを効果的に盗む高度なモデル抽出攻撃フレームワークであるDeepStealを提案する。 提案するDeepStealには2つの重要なステージがある。 まず, 情報漏洩ベクトルとしてrowhammerベースのハードウェア障害技術を採用することで, ハマーリークと呼ばれる新しい重み付きビット情報抽出手法を開発した。 HammerLeakは、DNNアプリケーションに適した、いくつかの新しいシステムレベルの技術を活用して、高速で効率的な重量盗みを可能にする。 次に,部分的漏洩ビット情報を有効に活用し,対象被害者モデルの代替プロトタイプを生成する,平均クラスタリング重みペナルティを用いた新しい代替モデルトレーニングアルゴリズムを提案する。 CIFAR-10/100/GTSRB)と4つのDNNアーキテクチャ(ResNet-18/34/Wide-ResNet/VGG-11)を用いて,この代替モデル抽出手法を評価する。 抽出した置換モデルは,CIFAR-10データセットの深部残差ネットワークにおいて90%以上の精度を達成できた。 さらに, 抽出した代替モデルは, 被害者モデルを騙すために, 効果的な逆入力サンプルを生成することもできる。

関連論文リスト

• TEN-GUARD: Tensor Decomposition for Backdoor Attack Detection in Deep Neural Networks [3.489779105594534]
  本稿では,ネットワークアクティベーションに適用した2つのテンソル分解法によるバックドア検出手法を提案する。 これは、複数のモデルを同時に分析する機能など、既存の検出方法と比較して、多くの利点がある。 その結果,現在の最先端手法よりも,バックドアネットワークを高精度かつ効率的に検出できることがわかった。
  論文  参考訳（メタデータ） (2024-01-06T03:08:28Z)
• Securing Graph Neural Networks in MLaaS: A Comprehensive Realization of Query-based Integrity Verification [68.86863899919358]
  我々は機械学習におけるGNNモデルをモデル中心の攻撃から保護するための画期的なアプローチを導入する。 提案手法は,GNNの完全性に対する包括的検証スキーマを含み,トランスダクティブとインダクティブGNNの両方を考慮している。 本稿では,革新的なノード指紋生成アルゴリズムを組み込んだクエリベースの検証手法を提案する。
  論文  参考訳（メタデータ） (2023-12-13T03:17:05Z)
• DeepTheft: Stealing DNN Model Architectures through Power Side Channel [42.380259435613354]
  Deep Neural Network(DNN)モデルは、推論サービスを提供するために、機械学習・アズ・ア・サービス(ML)としてリソース共有クラウドにデプロイされることが多い。 貴重な知的特性を持つモデルアーキテクチャを盗むために、異なるサイドチャネルリークを介して攻撃のクラスが提案されている。 我々は、RAPLベースの電源側チャネルを介して、汎用プロセッサ上の複雑なDNNモデルアーキテクチャを正確に復元する、新しいエンドツーエンドアタックであるDeepTheftを提案する。
  論文  参考訳（メタデータ） (2023-09-21T08:58:14Z)
• Fault Injection and Safe-Error Attack for Extraction of Embedded Neural Network Models [1.3654846342364308]
  モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。 攻撃を成功させるためのブラックボックス手法を提案する。 古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
  論文  参考訳（メタデータ） (2023-08-31T13:09:33Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Improving Robustness Against Adversarial Attacks with Deeply Quantized Neural Networks [0.5849513679510833]
  ディープニューラルネットワーク(DNN)の欠点は、入力にわずかな摂動を加えることで騙されるため、敵の攻撃に対する脆弱性である。 本稿では,対戦型ブラックボックス攻撃に対して堅牢な小型DNNモデルを考案し,自動量子化学習フレームワークを用いて訓練した結果を報告する。
  論文  参考訳（メタデータ） (2023-04-25T13:56:35Z)
• MOVE: Effective and Harmless Ownership Verification via Embedded External Features [109.19238806106426]
  本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。 我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。 特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
  論文  参考訳（メタデータ） (2022-08-04T02:22:29Z)
• ANNETTE: Accurate Neural Network Execution Time Estimation with Stacked Models [56.21470608621633]
  本稿では,アーキテクチャ検索を対象ハードウェアから切り離すための時間推定フレームワークを提案する。 提案手法は,マイクロカーネルと多層ベンチマークからモデルの集合を抽出し,マッピングとネットワーク実行時間推定のためのスタックモデルを生成する。 生成した混合モデルの推定精度と忠実度, 統計モデルとルーフラインモデル, 評価のための洗練されたルーフラインモデルを比較した。
  論文  参考訳（メタデータ） (2021-05-07T11:39:05Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Model Watermarking for Image Processing Networks [120.918532981871]
  深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。 画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
  論文  参考訳（メタデータ） (2020-02-25T18:36:18Z)
• Model Extraction Attacks against Recurrent Neural Networks [1.2891210250935146]
  繰り返しニューラルネットワーク(RNN)に対するモデル抽出攻撃の脅威について検討する。 長い短期記憶(LSTM)から単純なRNNを用いて精度の高いモデルを抽出できるかどうかを論じる。 次に、特に損失関数とより複雑なアーキテクチャを構成することにより、精度の高いモデルを効率的に抽出できることを示す。
  論文  参考訳（メタデータ） (2020-02-01T01:47:50Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。