論文の概要: Evil from Within: Machine Learning Backdoors through Hardware Trojans
- arxiv url: http://arxiv.org/abs/2304.08411v2
- Date: Tue, 18 Apr 2023 07:25:23 GMT
- ステータス: 処理完了
- システム内更新日: 2023-04-19 11:16:27.585536
- Title: Evil from Within: Machine Learning Backdoors through Hardware Trojans
- Title(参考訳): Evil from inside: ハードウェアトロイの木馬によるマシンラーニングバックドア
- Authors: Alexander Warnecke, Julian Speith, Jan-Niklas M\"oller, Konrad Rieck,
Christof Paar
- Abstract要約: バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。
私たちは、機械学習のための一般的なハードウェアアクセラレーターに完全に存在するバックドアアタックを導入します。
我々は,Xilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより,攻撃の実現可能性を示す。
- 参考スコア(独自算出の注目度): 72.99519529521919
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Backdoors pose a serious threat to machine learning, as they can compromise
the integrity of security-critical systems, such as self-driving cars. While
different defenses have been proposed to address this threat, they all rely on
the assumption that the hardware on which the learning models are executed
during inference is trusted. In this paper, we challenge this assumption and
introduce a backdoor attack that completely resides within a common hardware
accelerator for machine learning. Outside of the accelerator, neither the
learning model nor the software is manipulated, so that current defenses fail.
To make this attack practical, we overcome two challenges: First, as memory on
a hardware accelerator is severely limited, we introduce the concept of a
minimal backdoor that deviates as little as possible from the original model
and is activated by replacing a few model parameters only. Second, we develop a
configurable hardware trojan that can be provisioned with the backdoor and
performs a replacement only when the specific target model is processed. We
demonstrate the practical feasibility of our attack by implanting our hardware
trojan into the Xilinx Vitis AI DPU, a commercial machine-learning accelerator.
We configure the trojan with a minimal backdoor for a traffic-sign recognition
system. The backdoor replaces only 30 (0.069%) model parameters, yet it
reliably manipulates the recognition once the input contains a backdoor
trigger. Our attack expands the hardware circuit of the accelerator by 0.24%
and induces no run-time overhead, rendering a detection hardly possible. Given
the complex and highly distributed manufacturing process of current hardware,
our work points to a new threat in machine learning that is inaccessible to
current security mechanisms and calls for hardware to be manufactured only in
fully trusted environments.
- Abstract(参考訳): バックドアは、自動運転車のようなセキュリティクリティカルなシステムの完全性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。
この脅威に対処するために異なる防御策が提案されているが、それらはすべて、推論中に学習モデルを実行するハードウェアが信頼されているという仮定に依存している。
本稿では、この仮定に挑戦し、機械学習のための共通のハードウェアアクセラレータ内に存在するバックドア攻撃を導入する。
アクセルの外では、学習モデルもソフトウェアも操作されないため、現在の防御は失敗する。
まず、ハードウェアアクセラレータ上のメモリが極めて制限されているため、元のモデルから可能な限り逸脱し、いくつかのモデルパラメータのみを置き換えることで活性化される最小のバックドアの概念を導入する。
第2に、バックドアでプロビジョニングでき、特定のターゲットモデルを処理する場合にのみ置換を行う構成可能なハードウェアトロイの木馬を開発する。
市販の機械学習アクセラレータであるxilinx vitis ai dpuにハードウェアトロイの木馬を組み込むことにより,攻撃の実用性を示す。
トラヒックサイン認識システムのための最小限のバックドアでトロイの木馬を構成する。
バックドアは30(0.069%)のモデルパラメータに置き換わるが、入力がバックドアトリガを含むと認識を確実に操作する。
我々の攻撃はアクセルのハードウェア回路を0.24%拡張し、実行時のオーバーヘッドを生じさせないため、検出は不可能である。
現在のハードウェアの複雑で高度に分散された製造プロセスを考えると、当社の作業は、現在のセキュリティメカニズムに到達できないマシンラーニングにおける新たな脅威と、完全に信頼された環境でのみ製造されるハードウェアの要求を指し示しています。
関連論文リスト
- TrojFM: Resource-efficient Backdoor Attacks against Very Large Foundation Models [69.37990698561299]
TrojFMは、非常に大きな基礎モデルに適した、新しいバックドア攻撃である。
提案手法では,モデルパラメータのごく一部のみを微調整することでバックドアを注入する。
広範に使われている大規模GPTモデルに対して,TrojFMが効果的なバックドアアタックを起動できることを実証する。
論文 参考訳(メタデータ) (2024-05-27T03:10:57Z) - Towards Practical Fabrication Stage Attacks Using Interrupt-Resilient Hardware Trojans [4.549209593575401]
我々は、割り込み耐性トロイの木馬(IRT)と呼ばれる新しい種類のハードウェアトロイの木馬を紹介する。
IRTはCPUにおける非決定的トリガーの問題にうまく対処できる。
我々の設計は、製造段階攻撃時のシームレスな統合を可能にしている。
論文 参考訳(メタデータ) (2024-03-15T19:55:23Z) - Fine-Tuning Is All You Need to Mitigate Backdoor Attacks [10.88508085229675]
ファインチューニングは、機械学習モデルからバックドアを効果的に取り除き、高モデルユーティリティを維持できることを示す。
私たちは、バックドアの削除前後の他の攻撃に対するモデル脆弱性の変化を測定するために、バックドアの続編という新しい用語を作成しました。
論文 参考訳(メタデータ) (2022-12-18T11:30:59Z) - ImpNet: Imperceptible and blackbox-undetectable backdoors in compiled
neural networks [18.337267366258818]
データ準備およびモデルトレーニング段階における安全対策を回避するため,コンパイル中にバックドアを追加することができることを示す。
攻撃者は、コンパイル中に既存の重みベースのバックドアを挿入できるだけでなく、ImpNetのような新しい重みに依存しないバックドアも挿入できる。
ImpNetを含むいくつかのバックドアは、挿入され、他の場所で削除されるステージにおいてのみ確実に検出できるため、重大な課題となる。
論文 参考訳(メタデータ) (2022-09-30T21:59:24Z) - Architectural Backdoors in Neural Networks [27.315196801989032]
モデルアーキテクチャの内部に隠れる新しい種類のバックドアアタックを導入します。
これらのバックドアの実装は簡単で、例えばバックドアモデルアーキテクチャ用のオープンソースコードを公開している。
私たちは、モデルアーキテクチャのバックドアが真の脅威であり、他のアプローチとは異なり、ゼロから完全な再トレーニングに耐えられることを実証しています。
論文 参考訳(メタデータ) (2022-06-15T22:44:03Z) - Neurotoxin: Durable Backdoors in Federated Learning [73.82725064553827]
連合学習システムは バックドア攻撃の訓練中に 固有の脆弱性がある
我々は,既存のバックドア攻撃に対する単純な一直線修正であるニューロトキシンを提案する。
論文 参考訳(メタデータ) (2022-06-12T16:52:52Z) - Trojan Horse Training for Breaking Defenses against Backdoor Attacks in
Deep Learning [7.3007220721129364]
バックドアを含むMLモデルは、トロイの木馬モデルと呼ばれる。
現在のシングルターゲットバックドア攻撃では、ターゲットクラス毎に1つのトリガーが必要である。
我々は、単一のトリガが複数のターゲットクラスに誤分類をもたらすような、より一般的な新しい攻撃を導入する。
論文 参考訳(メタデータ) (2022-03-25T02:54:27Z) - Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。
学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。
我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
論文 参考訳(メタデータ) (2022-01-31T12:38:58Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Scalable Backdoor Detection in Neural Networks [61.39635364047679]
ディープラーニングモデルは、トロイの木馬攻撃に対して脆弱で、攻撃者はトレーニング中にバックドアをインストールして、結果のモデルが小さなトリガーパッチで汚染されたサンプルを誤識別させる。
本稿では,ラベル数と計算複雑性が一致しない新たなトリガリバースエンジニアリング手法を提案する。
実験では,提案手法が純モデルからトロイの木馬モデルを分離する際の完全なスコアを達成できることが観察された。
論文 参考訳(メタデータ) (2020-06-10T04:12:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。