論文の概要: A Tale of Two Models: Constructing Evasive Attacks on Edge Models

• arxiv url: http://arxiv.org/abs/2204.10933v1
• Date: Fri, 22 Apr 2022 21:33:33 GMT
• ステータス: 処理完了
• システム内更新日: 2022-04-28 05:55:16.054705
• Title: A Tale of Two Models: Constructing Evasive Attacks on Edge Models
• Title（参考訳）: 2つのモデルの物語:エッジモデルに対する侵入攻撃の構築
• Authors: Wei Hao, Aahil Awatramani, Jiayang Hu, Chengzhi Mao, Pin-Chun Chen, Eyal Cidon, Asaf Cidon and Junfeng Yang
• Abstract要約: ディープラーニングモデルは通常、エッジデバイスにデプロイするには大きすぎるか、あるいはコストがかかる。 限られたハードウェア資源に対応するため、モデルは様々なエッジ適応技術を用いてエッジに適応する。 エッジ適応におけるこれらの差異を生かした新たな回避攻撃であるDIVAを導入する。
• 参考スコア（独自算出の注目度）: 16.109896775870318
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Full-precision deep learning models are typically too large or costly to deploy on edge devices. To accommodate to the limited hardware resources, models are adapted to the edge using various edge-adaptation techniques, such as quantization and pruning. While such techniques may have a negligible impact on top-line accuracy, the adapted models exhibit subtle differences in output compared to the original model from which they are derived. In this paper, we introduce a new evasive attack, DIVA, that exploits these differences in edge adaptation, by adding adversarial noise to input data that maximizes the output difference between the original and adapted model. Such an attack is particularly dangerous, because the malicious input will trick the adapted model running on the edge, but will be virtually undetectable by the original model, which typically serves as the authoritative model version, used for validation, debugging and retraining. We compare DIVA to a state-of-the-art attack, PGD, and show that DIVA is only 1.7-3.6% worse on attacking the adapted model but 1.9-4.2 times more likely not to be detected by the the original model under a whitebox and semi-blackbox setting, compared to PGD.
• Abstract（参考訳）: 完全精度のディープラーニングモデルは通常、エッジデバイスにデプロイするには大きすぎるか、あるいはコストがかかる。 限られたハードウェアリソースに対応するため、モデルは量子化やプルーニングといった様々なエッジ適応技術を用いてエッジに適応する。 このような手法は、トップライン精度に無視できない影響を与えるかもしれないが、適応されたモデルは、それらが導出される元のモデルと比較して、出力の微妙な違いを示す。 本稿では,従来のモデルと適応モデルの出力差を最大化する入力データに逆ノイズを加えることで,エッジ適応におけるこれらの差を利用した新たな回避攻撃DIVAを提案する。 このような攻撃は特に危険であり、悪意のある入力はエッジ上で実行される適応モデルを騙すが、検証、デバッグ、再トレーニングに使用される権威モデルバージョンとして機能する元のモデルでは事実上検出できないためである。 我々はDIVAを最先端の攻撃であるPGDと比較し、DIVAが適応モデルの攻撃に対してわずか1.7-3.6%悪くなるが、Whiteboxおよび半ブラックボックス設定下のオリジナルのモデルでは検出されない可能性が1.9-4.2倍高いことを示す。

関連論文リスト

• Towards Robust and Efficient Cloud-Edge Elastic Model Adaptation via Selective Entropy Distillation [56.79064699832383]
  Cloud-Edge Elastic Model Adaptation (CEMA)パラダイムを確立し、エッジモデルが前方伝播のみを実行するようにします。 CEMAでは,通信負担を軽減するため,不要なサンプルをクラウドにアップロードすることを避けるための2つの基準を考案した。
  論文  参考訳（メタデータ） (2024-02-27T08:47:19Z)
• Black-Box Tuning of Vision-Language Models with Effective Gradient Approximation [71.21346469382821]
  ブラックボックスモデルに対するテキストプロンプト最適化と出力特徴適応のための協調ブラックボックスチューニング(CBBT)を導入する。 CBBTは11のダウンストリームベンチマークで広範囲に評価され、既存のブラックボックスVL適応法と比較して顕著に改善されている。
  論文  参考訳（メタデータ） (2023-12-26T06:31:28Z)
• OMG-ATTACK: Self-Supervised On-Manifold Generation of Transferable Evasion Attacks [17.584752814352502]
  Evasion Attacks (EA) は、入力データを歪ませることで、トレーニングされたニューラルネットワークの堅牢性をテストするために使用される。 本稿では, 自己教師型, 計算的経済的な手法を用いて, 対逆例を生成する手法を提案する。 我々の実験は、この手法が様々なモデル、目に見えないデータカテゴリ、さらには防御されたモデルで有効であることを一貫して実証している。
  論文  参考訳（メタデータ） (2023-10-05T17:34:47Z)
• Class-Conditioned Transformation for Enhanced Robust Image Classification [19.738635819545554]
  本稿では,Adrial-versa-Trained (AT)モデルを強化する新しいテスト時間脅威モデルを提案する。 コンディショナル・イメージ・トランスフォーメーションとディスタンス・ベース・予測(CODIP)を用いて動作する。 提案手法は,様々なモデル,ATメソッド,データセット,アタックタイプに関する広範な実験を通じて,最先端の成果を実証する。
  論文  参考訳（メタデータ） (2023-03-27T17:28:20Z)
• How to Robustify Black-Box ML Models? A Zeroth-Order Optimization Perspective [74.47093382436823]
  入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法? 我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。 我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
  論文  参考訳（メタデータ） (2022-03-27T03:23:32Z)
• Black-box Adversarial Attacks on Network-wide Multi-step Traffic State Prediction Models [4.353029347463806]
  予測モデルをブラックボックスとして扱うことで,敵攻撃の枠組みを提案する。 相手は任意の入力で予測モデルを導出し、対応する出力を得る。 攻撃の有効性を検証するため,グラフニューラルネットワークベースモデル(GCGRNNとDCRNN)の2つの状態について検討した。
  論文  参考訳（メタデータ） (2021-10-17T03:45:35Z)
• Distill and Fine-tune: Effective Adaptation from a Black-box Source Model [138.12678159620248]
  Unsupervised Domain Adapt (UDA) は、既存のラベル付きデータセット (source) の知識を新しいラベル付きデータセット (target) に転送することを目的としています。 Distill and Fine-tune (Dis-tune) という新しい二段階適応フレームワークを提案する。
  論文  参考訳（メタデータ） (2021-04-04T05:29:05Z)
• Orthogonal Deep Models As Defense Against Black-Box Attacks [71.23669614195195]
  攻撃者が標的モデルに類似したモデルを用いて攻撃を発生させるブラックボックス設定における深層モデル固有の弱点について検討する。 本稿では,深部モデルの内部表現を他のモデルに直交させる新しい勾配正規化手法を提案する。 様々な大規模モデルにおいて,本手法の有効性を検証する。
  論文  参考訳（メタデータ） (2020-06-26T08:29:05Z)
• DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
  本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。 これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。 実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
  論文  参考訳（メタデータ） (2020-03-28T04:28:13Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。