論文の概要: Evil from Within: Machine Learning Backdoors through Hardware Trojans
- arxiv url: http://arxiv.org/abs/2304.08411v3
- Date: Mon, 03 Feb 2025 13:22:36 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-05 14:55:00.647936
- Title: Evil from Within: Machine Learning Backdoors through Hardware Trojans
- Title(参考訳): Evil from inside: ハードウェアトロイの木馬によるマシンラーニングバックドア
- Authors: Alexander Warnecke, Julian Speith, Jan-Niklas Möller, Konrad Rieck, Christof Paar,
- Abstract要約: バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。
私たちは、機械学習のための一般的なハードウェアアクセラレーターに完全に存在するバックドアアタックを導入します。
我々は,Xilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより,攻撃の実現可能性を示す。
- 参考スコア(独自算出の注目度): 51.81518799463544
- License:
- Abstract: Backdoors pose a serious threat to machine learning, as they can compromise the integrity of security-critical systems, such as self-driving cars. While different defenses have been proposed to address this threat, they all rely on the assumption that the hardware on which the learning models are executed during inference is trusted. In this paper, we challenge this assumption and introduce a backdoor attack that completely resides within a common hardware accelerator for machine learning. Outside of the accelerator, neither the learning model nor the software is manipulated, so that current defenses fail. To make this attack practical, we overcome two challenges: First, as memory on a hardware accelerator is severely limited, we introduce the concept of a minimal backdoor that deviates as little as possible from the original model and is activated by replacing a few model parameters only. Second, we develop a configurable hardware trojan that can be provisioned with the backdoor and performs a replacement only when the specific target model is processed. We demonstrate the practical feasibility of our attack by implanting our hardware trojan into the Xilinx Vitis AI DPU, a commercial machine-learning accelerator. We configure the trojan with a minimal backdoor for a traffic-sign recognition system. The backdoor replaces only 30 (0.069%) model parameters, yet it reliably manipulates the recognition once the input contains a backdoor trigger. Our attack expands the hardware circuit of the accelerator by 0.24% and induces no run-time overhead, rendering a detection hardly possible. Given the complex and highly distributed manufacturing process of current hardware, our work points to a new threat in machine learning that is inaccessible to current security mechanisms and calls for hardware to be manufactured only in fully trusted environments.
- Abstract(参考訳): バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。
この脅威に対処するために異なる防御策が提案されているが、それらはすべて、推論中に学習モデルが実行されるハードウェアが信頼されているという仮定に依存している。
本稿では、この仮定に挑戦し、機械学習のための一般的なハードウェアアクセラレーター内に完全に存在するバックドア攻撃を導入する。
アクセルの外では、学習モデルもソフトウェアも操作されないため、現在の防御は失敗する。
まず、ハードウェアアクセラレータのメモリが著しく制限されているため、元のモデルから可能な限り逸脱する最小限のバックドアの概念を導入し、いくつかのモデルパラメータを置き換えることでアクティベートする。
第2に、バックドアでプロビジョニングでき、特定のターゲットモデルが処理された場合にのみ置換を行う構成可能なハードウェアトロイの木馬を開発する。
商用機械学習アクセラレータXilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより、攻撃の実用可能性を示す。
交通信号認識システムのためのバックドアを最小限に設定する。
バックドアは30(0.069%)のモデルパラメータに置き換わるが、入力がバックドアトリガを含むと認識を確実に操作する。
我々の攻撃はアクセルのハードウェア回路を0.24%拡張し、実行時のオーバーヘッドを生じさせないため、検出は不可能である。
現在のハードウェアの複雑で高度に分散された製造プロセスを考えると、当社の作業は、現在のセキュリティメカニズムに到達できないマシンラーニングにおける新たな脅威と、完全に信頼された環境でのみ製造されるハードウェアの要求を指し示しています。
関連論文リスト
- TrojFM: Resource-efficient Backdoor Attacks against Very Large Foundation Models [69.37990698561299]
TrojFMは、非常に大きな基礎モデルに適した、新しいバックドア攻撃である。
提案手法では,モデルパラメータのごく一部のみを微調整することでバックドアを注入する。
広範に使われている大規模GPTモデルに対して,TrojFMが効果的なバックドアアタックを起動できることを実証する。
論文 参考訳(メタデータ) (2024-05-27T03:10:57Z) - Towards Practical Fabrication Stage Attacks Using Interrupt-Resilient Hardware Trojans [4.549209593575401]
我々は、割り込み耐性トロイの木馬(IRT)と呼ばれる新しい種類のハードウェアトロイの木馬を紹介する。
IRTはCPUにおける非決定的トリガーの問題にうまく対処できる。
我々の設計は、製造段階攻撃時のシームレスな統合を可能にしている。
論文 参考訳(メタデータ) (2024-03-15T19:55:23Z) - Fine-Tuning Is All You Need to Mitigate Backdoor Attacks [10.88508085229675]
ファインチューニングは、機械学習モデルからバックドアを効果的に取り除き、高モデルユーティリティを維持できることを示す。
私たちは、バックドアの削除前後の他の攻撃に対するモデル脆弱性の変化を測定するために、バックドアの続編という新しい用語を作成しました。
論文 参考訳(メタデータ) (2022-12-18T11:30:59Z) - ImpNet: Imperceptible and blackbox-undetectable backdoors in compiled
neural networks [18.337267366258818]
データ準備およびモデルトレーニング段階における安全対策を回避するため,コンパイル中にバックドアを追加することができることを示す。
攻撃者は、コンパイル中に既存の重みベースのバックドアを挿入できるだけでなく、ImpNetのような新しい重みに依存しないバックドアも挿入できる。
ImpNetを含むいくつかのバックドアは、挿入され、他の場所で削除されるステージにおいてのみ確実に検出できるため、重大な課題となる。
論文 参考訳(メタデータ) (2022-09-30T21:59:24Z) - Architectural Backdoors in Neural Networks [27.315196801989032]
モデルアーキテクチャの内部に隠れる新しい種類のバックドアアタックを導入します。
これらのバックドアの実装は簡単で、例えばバックドアモデルアーキテクチャ用のオープンソースコードを公開している。
私たちは、モデルアーキテクチャのバックドアが真の脅威であり、他のアプローチとは異なり、ゼロから完全な再トレーニングに耐えられることを実証しています。
論文 参考訳(メタデータ) (2022-06-15T22:44:03Z) - Neurotoxin: Durable Backdoors in Federated Learning [73.82725064553827]
連合学習システムは バックドア攻撃の訓練中に 固有の脆弱性がある
我々は,既存のバックドア攻撃に対する単純な一直線修正であるニューロトキシンを提案する。
論文 参考訳(メタデータ) (2022-06-12T16:52:52Z) - Trojan Horse Training for Breaking Defenses against Backdoor Attacks in
Deep Learning [7.3007220721129364]
バックドアを含むMLモデルは、トロイの木馬モデルと呼ばれる。
現在のシングルターゲットバックドア攻撃では、ターゲットクラス毎に1つのトリガーが必要である。
我々は、単一のトリガが複数のターゲットクラスに誤分類をもたらすような、より一般的な新しい攻撃を導入する。
論文 参考訳(メタデータ) (2022-03-25T02:54:27Z) - Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。
学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。
我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
論文 参考訳(メタデータ) (2022-01-31T12:38:58Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Scalable Backdoor Detection in Neural Networks [61.39635364047679]
ディープラーニングモデルは、トロイの木馬攻撃に対して脆弱で、攻撃者はトレーニング中にバックドアをインストールして、結果のモデルが小さなトリガーパッチで汚染されたサンプルを誤識別させる。
本稿では,ラベル数と計算複雑性が一致しない新たなトリガリバースエンジニアリング手法を提案する。
実験では,提案手法が純モデルからトロイの木馬モデルを分離する際の完全なスコアを達成できることが観察された。
論文 参考訳(メタデータ) (2020-06-10T04:12:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。