論文の概要: DeepTaster: Adversarial Perturbation-Based Fingerprinting to Identify
Proprietary Dataset Use in Deep Neural Networks
- arxiv url: http://arxiv.org/abs/2211.13535v2
- Date: Thu, 4 Jan 2024 00:16:22 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-05 17:53:57.092072
- Title: DeepTaster: Adversarial Perturbation-Based Fingerprinting to Identify
Proprietary Dataset Use in Deep Neural Networks
- Title(参考訳): DeepTaster: ディープニューラルネットワークにおける一次データセットの識別のための逆摂動に基づくフィンガープリント
- Authors: Seonhye Park, Alsharif Abuadbba, Shuo Wang, Kristen Moore, Yansong
Gao, Hyoungshick Kim, Surya Nepal
- Abstract要約: 我々は、被害者のデータを不正に使用して容疑者モデルを構築するシナリオに対処する、新しいフィンガープリント技術であるDeepTasterを紹介した。
これを実現するために、DeepTasterは摂動を伴う逆画像を生成し、それらをフーリエ周波数領域に変換し、これらの変換された画像を使用して被疑者モデルで使用されるデータセットを識別する。
- 参考スコア(独自算出の注目度): 34.11970637801044
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Training deep neural networks (DNNs) requires large datasets and powerful
computing resources, which has led some owners to restrict redistribution
without permission. Watermarking techniques that embed confidential data into
DNNs have been used to protect ownership, but these can degrade model
performance and are vulnerable to watermark removal attacks. Recently,
DeepJudge was introduced as an alternative approach to measuring the similarity
between a suspect and a victim model. While DeepJudge shows promise in
addressing the shortcomings of watermarking, it primarily addresses situations
where the suspect model copies the victim's architecture. In this study, we
introduce DeepTaster, a novel DNN fingerprinting technique, to address
scenarios where a victim's data is unlawfully used to build a suspect model.
DeepTaster can effectively identify such DNN model theft attacks, even when the
suspect model's architecture deviates from the victim's. To accomplish this,
DeepTaster generates adversarial images with perturbations, transforms them
into the Fourier frequency domain, and uses these transformed images to
identify the dataset used in a suspect model. The underlying premise is that
adversarial images can capture the unique characteristics of DNNs built with a
specific dataset. To demonstrate the effectiveness of DeepTaster, we evaluated
the effectiveness of DeepTaster by assessing its detection accuracy on three
datasets (CIFAR10, MNIST, and Tiny-ImageNet) across three model architectures
(ResNet18, VGG16, and DenseNet161). We conducted experiments under various
attack scenarios, including transfer learning, pruning, fine-tuning, and data
augmentation. Specifically, in the Multi-Architecture Attack scenario,
DeepTaster was able to identify all the stolen cases across all datasets, while
DeepJudge failed to detect any of the cases.
- Abstract(参考訳): ディープニューラルネットワーク(DNN)のトレーニングには、大規模なデータセットと強力なコンピューティングリソースが必要だ。
機密データをdnnに埋め込む透かし技術は、所有権を保護するために使われてきたが、これらはモデルのパフォーマンスを低下させ、透かし除去攻撃に弱い。
近年,DeepJudgeは被疑者と被害者モデルとの類似性を測定する代替手法として導入された。
DeepJudgeは、透かしの欠点に対処する際、主に被疑者のモデルが犠牲者のアーキテクチャをコピーする状況に対処する。
本研究では,新たなDNNフィンガープリント技術であるDeepTasterを紹介し,被害者のデータを不正に使用して容疑者モデルを構築するシナリオに対処する。
DeepTasterは、疑わしいモデルのアーキテクチャが被害者から逸脱した場合でも、そのようなDNNモデル盗難攻撃を効果的に識別することができる。
これを達成するため、deeptasterは摂動を伴う逆画像を生成し、フーリエ周波数領域に変換し、これらの変換画像を使用して被疑者モデルで使用されるデータセットを識別する。
根底にある前提は、特定のデータセットで構築されたDNNのユニークな特徴を、逆画像がキャプチャできるということです。
DeepTasterの有効性を実証するために,3つのモデルアーキテクチャ(ResNet18,VGG16,DenseNet161)における3つのデータセット(CIFAR10,MNIST,Tiny-ImageNet)における検出精度を評価し,DeepTasterの有効性を評価した。
転送学習,プルーニング,微調整,データ拡張など,さまざまな攻撃シナリオで実験を行った。
具体的には、Multi-Architecture Attackのシナリオでは、DeepTasterはすべてのデータセットで盗まれたすべてのケースを識別することができたが、DeepJudgeはいずれのケースも検出できなかった。
関連論文リスト
- DeepiSign-G: Generic Watermark to Stamp Hidden DNN Parameters for Self-contained Tracking [15.394110881491773]
DeepiSign-Gは、CNNやRNNを含む主要なDNNアーキテクチャの包括的な検証のために設計された汎用的な透かし方式である。
従来のハッシュ技術とは異なり、DeepiSign-Gはモデルに直接メタデータを組み込むことができ、詳細な自己完結型トラッキングと検証を可能にする。
我々は,CNNモデル(VGG,ResNets,DenseNet)やRNN(テキスト感情分類器)など,さまざまなアーキテクチャにおけるDeepiSign-Gの適用性を実証する。
論文 参考訳(メタデータ) (2024-07-01T13:15:38Z) - TEN-GUARD: Tensor Decomposition for Backdoor Attack Detection in Deep
Neural Networks [3.489779105594534]
本稿では,ネットワークアクティベーションに適用した2つのテンソル分解法によるバックドア検出手法を提案する。
これは、複数のモデルを同時に分析する機能など、既存の検出方法と比較して、多くの利点がある。
その結果,現在の最先端手法よりも,バックドアネットワークを高精度かつ効率的に検出できることがわかった。
論文 参考訳(メタデータ) (2024-01-06T03:08:28Z) - A Geometrical Approach to Evaluate the Adversarial Robustness of Deep
Neural Networks [52.09243852066406]
対向収束時間スコア(ACTS)は、対向ロバストネス指標として収束時間を測定する。
我々は,大規模画像Netデータセットに対する異なる敵攻撃に対して,提案したACTSメトリックの有効性と一般化を検証する。
論文 参考訳(メタデータ) (2023-10-10T09:39:38Z) - Safe and Robust Watermark Injection with a Single OoD Image [90.71804273115585]
高性能なディープニューラルネットワークをトレーニングするには、大量のデータと計算リソースが必要である。
安全で堅牢なバックドア型透かし注入法を提案する。
我々は,透かし注入時のモデルパラメータのランダムな摂動を誘導し,一般的な透かし除去攻撃に対する防御を行う。
論文 参考訳(メタデータ) (2023-09-04T19:58:35Z) - On the Adversarial Inversion of Deep Biometric Representations [3.804240190982696]
生体認証サービスプロバイダは、しばしばユーザーの生の生体認証サンプルをリバースエンジニアリングすることは不可能であると主張する。
本稿では、ディープニューラルネットワーク(DNN)埋め込みの具体例について、この主張を考察する。
組込み時のモデルフットプリントを利用して、最初に元のDNNを推定する2段階の攻撃を提案する。
論文 参考訳(メタデータ) (2023-04-12T01:47:11Z) - Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。
バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。
具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
論文 参考訳(メタデータ) (2022-08-04T05:32:20Z) - DeepSteal: Advanced Model Extractions Leveraging Efficient Weight
Stealing in Memories [26.067920958354]
Deep Neural Networks(DNN)のプライバシに対する大きな脅威の1つは、モデル抽出攻撃である。
最近の研究によると、ハードウェアベースのサイドチャネル攻撃はDNNモデル(例えばモデルアーキテクチャ)の内部知識を明らかにすることができる。
本稿では,メモリサイドチャネル攻撃の助けを借りてDNN重みを効果的に盗む,高度なモデル抽出攻撃フレームワークであるDeepStealを提案する。
論文 参考訳(メタデータ) (2021-11-08T16:55:45Z) - Exploring Structure Consistency for Deep Model Watermarking [122.38456787761497]
Deep Neural Network(DNN)の知的財産権(IP)は、代理モデルアタックによって簡単に盗まれる。
本稿では,新しい構造整合モデルウォーターマーキングアルゴリズムを設計した新しい透かし手法,すなわち構造整合性'を提案する。
論文 参考訳(メタデータ) (2021-08-05T04:27:15Z) - Reversible Watermarking in Deep Convolutional Neural Networks for
Integrity Authentication [78.165255859254]
整合性認証のための可逆透かしアルゴリズムを提案する。
可逆透かしを埋め込むことが分類性能に及ぼす影響は0.5%未満である。
同時に、可逆的な透かしを適用することでモデルの完全性を検証することができる。
論文 参考訳(メタデータ) (2021-04-09T09:32:21Z) - DeepiSign: Invisible Fragile Watermark to Protect the Integrityand
Authenticity of CNN [37.98139322456872]
CNNモデルの完全性と信頼性を確保するために,自己完結型タンパー防止法DeepiSignを提案する。
DeepiSignは、壊れやすい見えない透かしのアイデアを適用して、秘密とそのハッシュ値をCNNモデルに安全に埋め込みます。
理論的解析により,DeepiSignは各層に最大1KBのシークレットを隠蔽し,モデルの精度を最小限に抑えることができた。
論文 参考訳(メタデータ) (2021-01-12T06:42:45Z) - Cooling-Shrinking Attack: Blinding the Tracker with Imperceptible Noises [87.53808756910452]
The method is proposed to deceive-of-the-the-art SiameseRPN-based tracker。
本手法は転送性に優れ,DaSiamRPN,DaSiamRPN-UpdateNet,DiMPなどの他のトップパフォーマンストラッカーを騙すことができる。
論文 参考訳(メタデータ) (2020-03-21T07:13:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。