論文の概要: NNSplitter: An Active Defense Solution to DNN Model via Automated Weight
Obfuscation
- arxiv url: http://arxiv.org/abs/2305.00097v1
- Date: Fri, 28 Apr 2023 21:27:16 GMT
- ステータス: 処理完了
- システム内更新日: 2023-05-02 17:07:53.835344
- Title: NNSplitter: An Active Defense Solution to DNN Model via Automated Weight
Obfuscation
- Title(参考訳): NNSplitter: 軽量自動難読化によるDNNモデルのアクティブディフェンスソリューション
- Authors: Tong Zhou, Yukui Luo, Shaolei Ren, Xiaolin Xu
- Abstract要約: 本稿では,アクティブモデルIP保護方式,NNSplitterを提案する。
NNSplitterは、重量難読化による性能の悪い難読化モデルとモデルシークレットの2つに分割することで、モデルを積極的に保護する。
NNSplitterは、通常のクリッピングや微調整攻撃を含む潜在的な攻撃面に対して、ステルス性があり、耐性があることを示す。
- 参考スコア(独自算出の注目度): 24.62624228152718
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: As a type of valuable intellectual property (IP), deep neural network (DNN)
models have been protected by techniques like watermarking. However, such
passive model protection cannot fully prevent model abuse. In this work, we
propose an active model IP protection scheme, namely NNSplitter, which actively
protects the model by splitting it into two parts: the obfuscated model that
performs poorly due to weight obfuscation, and the model secrets consisting of
the indexes and original values of the obfuscated weights, which can only be
accessed by authorized users. NNSplitter uses the trusted execution environment
to secure the secrets and a reinforcement learning-based controller to reduce
the number of obfuscated weights while maximizing accuracy drop. Our
experiments show that by only modifying 313 out of over 28 million (i.e.,
0.001%) weights, the accuracy of the obfuscated VGG-11 model on Fashion-MNIST
can drop to 10%. We also demonstrate that NNSplitter is stealthy and resilient
against potential attack surfaces, including norm clipping and fine-tuning
attacks.
- Abstract(参考訳): 貴重な知的財産権(IP)の一種として、ディープニューラルネットワーク(DNN)モデルは、透かしのような技術によって保護されている。
しかし、このような受動的モデル保護はモデル乱用を完全に防げない。
そこで本研究では,重み難読化により性能が低下する難読化モデルと,認証されたユーザしかアクセスできない難読化重みのインデックスと元値からなるモデル秘密とを2つの部分に分けて積極的に保護するアクティブモデルip保護スキームであるnnsplitterを提案する。
NNSplitterは信頼された実行環境を使用して秘密の確保と強化学習ベースのコントローラを使用して、難読化重量の削減と精度低下の最大化を行う。
実験の結果,2800万重み(0.001%)のうち313個を修正すれば,ファッション・マンニストのvgg-11モデルの精度は10%まで低下することがわかった。
また、NNSplitterは、通常のクリッピングや微調整攻撃を含む潜在的な攻撃面に対して、ステルス性があり、耐性があることを示す。
関連論文リスト
- Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Are aligned neural networks adversarially aligned? [93.91072860401856]
敵のユーザは、アライメントの試みを回避できるインプットを構築できる。
既存のNLPベースの最適化攻撃は、整列したテキストモデルを確実に攻撃するには不十分であることを示す。
我々は、NLP攻撃の改善が、テキストのみのモデルに対して、同じレベルの逆制御を示す可能性があると推測する。
論文 参考訳(メタデータ) (2023-06-26T17:18:44Z) - Publishing Efficient On-device Models Increases Adversarial
Vulnerability [58.6975494957865]
本稿では,大規模モデルのオンデバイス版を公開する際のセキュリティ上の考慮事項について検討する。
まず、敵がデバイス上のモデルを悪用し、大きなモデルを攻撃しやすくすることを示す。
次に、フルスケールと効率的なモデルとの類似性が増加するにつれて、脆弱性が増加することを示す。
論文 参考訳(メタデータ) (2022-12-28T05:05:58Z) - MOVE: Effective and Harmless Ownership Verification via Embedded
External Features [109.19238806106426]
本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。
我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。
特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
論文 参考訳(メタデータ) (2022-08-04T02:22:29Z) - PCPT and ACPT: Copyright Protection and Traceability Scheme for DNN
Models [13.043683635373213]
ディープニューラルネットワーク(DNN)は人工知能(AI)分野で大きな成功を収めている。
DNNモデルは、簡単に違法にコピーしたり、再配布したり、犯罪者に虐待されたりすることができる。
論文 参考訳(メタデータ) (2022-06-06T12:12:47Z) - How to Robustify Black-Box ML Models? A Zeroth-Order Optimization
Perspective [74.47093382436823]
入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法?
我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。
我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
論文 参考訳(メタデータ) (2022-03-27T03:23:32Z) - DeepSight: Mitigating Backdoor Attacks in Federated Learning Through
Deep Model Inspection [26.593268413299228]
フェデレートラーニング(FL)では、複数のクライアントが、データを公開せずに、プライベートデータ上でニューラルネットワーク(NN)モデルを協調的にトレーニングすることができる。
DeepSightは、バックドア攻撃を緩和するための新しいモデルフィルタリングアプローチである。
モデルの性能に悪影響を及ぼすことなく、最先端のバックドア攻撃を軽減できることを示す。
論文 参考訳(メタデータ) (2022-01-03T17:10:07Z) - DeepSteal: Advanced Model Extractions Leveraging Efficient Weight
Stealing in Memories [26.067920958354]
Deep Neural Networks(DNN)のプライバシに対する大きな脅威の1つは、モデル抽出攻撃である。
最近の研究によると、ハードウェアベースのサイドチャネル攻撃はDNNモデル(例えばモデルアーキテクチャ)の内部知識を明らかにすることができる。
本稿では,メモリサイドチャネル攻撃の助けを借りてDNN重みを効果的に盗む,高度なモデル抽出攻撃フレームワークであるDeepStealを提案する。
論文 参考訳(メタデータ) (2021-11-08T16:55:45Z) - AdvParams: An Active DNN Intellectual Property Protection Technique via
Adversarial Perturbation Based Parameter Encryption [10.223780756303196]
本稿では,DNNIPを侵害から積極的に保護するための効果的な枠組みを提案する。
具体的には、DNNモデルのパラメータを、よく構築された対向的摂動で摂動することで暗号化する。
暗号化後、暗号化されたパラメータの位置と追加された敵の摂動の値が秘密鍵となる。
論文 参考訳(メタデータ) (2021-05-28T09:42:35Z) - HufuNet: Embedding the Left Piece as Watermark and Keeping the Right
Piece for Ownership Verification in Deep Neural Networks [16.388046449021466]
深部ニューラルネットワーク(DNN)を透かしする新しいソリューションを提案する。
HufuNetは、モデル微調整/pruning、カーネルのカットオフ/補完、機能相当の攻撃、不正所有クレームに対して非常に堅牢です。
論文 参考訳(メタデータ) (2021-03-25T06:55:22Z) - Cooling-Shrinking Attack: Blinding the Tracker with Imperceptible Noises [87.53808756910452]
The method is proposed to deceive-of-the-the-art SiameseRPN-based tracker。
本手法は転送性に優れ,DaSiamRPN,DaSiamRPN-UpdateNet,DiMPなどの他のトップパフォーマンストラッカーを騙すことができる。
論文 参考訳(メタデータ) (2020-03-21T07:13:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。