論文の概要: Pareto-Secure Machine Learning (PSML): Fingerprinting and Securing Inference Serving Systems

• arxiv url: http://arxiv.org/abs/2307.01292v1
• Date: Mon, 3 Jul 2023 18:53:47 GMT
• ステータス: 処理完了
• システム内更新日: 2023-07-06 19:15:00.732750
• Title: Pareto-Secure Machine Learning (PSML): Fingerprinting and Securing Inference Serving Systems
• Title（参考訳）: Pareto-Secure Machine Learning (PSML):フィンガープリントとセキュア推論サービングシステム
• Authors: Debopam Sanyal (Georgia Institute of Technology), Jui-Tse Hung (Georgia Institute of Technology), Manav Agrawal (Georgia Institute of Technology), Prahlad Jasti (Georgia Institute of Technology), Shahab Nikkhoo (University of California, Riverside), Somesh Jha (University of Wisconsin, Madison), Tianhao Wang (University of Virginia), Sibin Mohan (The George Washington University), Alexey Tumanov (Georgia Institute of Technology)
• Abstract要約: そこで本研究では,攻撃者が希望するモデルを連続的にトリガーできるように,クエリ効率のよいフィンガープリントアルゴリズムを提案する。 モデル抽出は,単一モデル設定で攻撃した場合に得られたスコアの1%以内の忠実度と精度のスコアを持つことを示す。 我々は,特定の性能指標にノイズを加えることで,指紋認証を阻止するノイズベースの防御機構を用いて,提案攻撃を阻止する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: With the emergence of large foundational models, model-serving systems are becoming popular. In such a system, users send the queries to the server and specify the desired performance metrics (e.g., accuracy, latency, etc.). The server maintains a set of models (model zoo) in the back-end and serves the queries based on the specified metrics. This paper examines the security, specifically robustness against model extraction attacks, of such systems. Existing black-box attacks cannot be directly applied to extract a victim model, as models hide among the model zoo behind the inference serving interface, and attackers cannot identify which model is being used. An intermediate step is required to ensure that every input query gets the output from the victim model. To this end, we propose a query-efficient fingerprinting algorithm to enable the attacker to trigger any desired model consistently. We show that by using our fingerprinting algorithm, model extraction can have fidelity and accuracy scores within $1\%$ of the scores obtained if attacking in a single-model setting and up to $14.6\%$ gain in accuracy and up to $7.7\%$ gain in fidelity compared to the naive attack. Finally, we counter the proposed attack with a noise-based defense mechanism that thwarts fingerprinting by adding noise to the specified performance metrics. Our defense strategy reduces the attack's accuracy and fidelity by up to $9.8\%$ and $4.8\%$, respectively (on medium-sized model extraction). We show that the proposed defense induces a fundamental trade-off between the level of protection and system goodput, achieving configurable and significant victim model extraction protection while maintaining acceptable goodput ($>80\%$). We provide anonymous access to our code.
• Abstract（参考訳）: 大規模基礎モデルが出現し、モデル保存システムが普及している。 このようなシステムでは、ユーザはクエリをサーバに送信し、所望のパフォーマンス指標(例えば、精度、レイテンシなど)を指定する。 サーバはバックエンドに一連のモデル(モデルzoo)を保持し、指定されたメトリクスに基づいてクエリを提供する。 本稿では,このようなシステムの安全性,特にモデル抽出攻撃に対する堅牢性について検討する。 既存のブラックボックス攻撃は、モデルが推論サービスインターフェースの背後にあるモデル動物園の中に隠れているため、犠牲者モデルを抽出するために直接適用できない。 すべての入力クエリが犠牲者モデルから出力されることを保証するには、中間ステップが必要である。 そこで本研究では,攻撃者が希望するモデルを連続的にトリガーできるように,クエリ効率のよいフィンガープリントアルゴリズムを提案する。 このフィンガープリントアルゴリズムを用いることで,単一モデル設定でアタックした場合に得られるスコアの1～%以内の忠実度と精度スコア,最大14.6～%の精度向上,最大7.7〜%の忠実度向上が得られることを示す。 最後に,特定の性能指標にノイズを加えることで指紋認証を阻止するノイズベース防御機構を用いて,提案攻撃を阻止する。 我々の防衛戦略は攻撃の精度と忠実度を最大9.8 %$と4.8 %$に下げる(中規模モデル抽出の場合)。 提案する防御は,保護レベルとシステムグッドプットの基本的なトレードオフを生じさせ,許容できるグッドプット (>80\%$) を維持しつつ,構成可能かつ重大な被害者モデル抽出保護を実現する。 コードへの匿名アクセスを提供する。

関連論文リスト

• ASPIRER: Bypassing System Prompts With Permutation-based Backdoors in LLMs [17.853862145962292]
  システムプロンプトを体系的に回避する新しいバックドアアタックを導入する。 本手法は,98.58%のクリーン精度(CACC)を維持しつつ,攻撃成功率(ASR)を99.50%まで達成する。
  論文  参考訳（メタデータ） (2024-10-05T02:58:20Z)
• Model Pairing Using Embedding Translation for Backdoor Attack Detection on Open-Set Classification Tasks [63.269788236474234]
  バックドア検出のためのオープンセット分類タスクにモデルペアを用いることを提案する。 このスコアは、異なるアーキテクチャのモデルがあるにもかかわらず、バックドアの存在を示す指標であることを示している。 この技術は、オープンセット分類タスク用に設計されたモデル上のバックドアの検出を可能にするが、文献ではほとんど研究されていない。
  論文  参考訳（メタデータ） (2024-02-28T21:29:16Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Careful What You Wish For: on the Extraction of Adversarially Trained Models [2.707154152696381]
  最近の機械学習(ML)モデルに対する攻撃は、いくつかのセキュリティとプライバシの脅威を引き起こす。 本稿では,敵の学習したモデルに対する抽出攻撃を評価する枠組みを提案する。 本研究では, 自然学習環境下で得られたモデルよりも, 敵の訓練を受けたモデルの方が抽出攻撃に対して脆弱であることを示す。
  論文  参考訳（メタデータ） (2022-07-21T16:04:37Z)
• A Unified Evaluation of Textual Backdoor Learning: Frameworks and Benchmarks [72.7373468905418]
  我々は,テキストバックドア学習の実装と評価を促進するオープンソースツールキットOpenBackdoorを開発した。 また,単純なクラスタリングに基づく防御ベースラインであるCUBEを提案する。
  論文  参考訳（メタデータ） (2022-06-17T02:29:23Z)
• Fingerprinting Deep Neural Networks Globally via Universal Adversarial Perturbations [22.89321897726347]
  本稿では,被害者モデルから被疑者モデルが盗まれたかどうかをサービス提供者が検証できるようにする,新しい,実用的なメカニズムを提案する。 我々のフレームワークは、容疑者モデルの指紋が20ドル以内で、信頼度99.99 %のモデルIP侵害を検出することができる。
  論文  参考訳（メタデータ） (2022-02-17T11:29:50Z)
• Increasing the Cost of Model Extraction with Calibrated Proof of Work [25.096196576476885]
  モデル抽出攻撃では、敵はパブリックAPIを通じて公開された機械学習モデルを盗むことができる。 我々は,モデルの予測を読み取る前に,ユーザが作業の証明を完了するように提案する。
  論文  参考訳（メタデータ） (2022-01-23T12:21:28Z)
• Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
  私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。 いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。 我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
  論文  参考訳（メタデータ） (2021-08-25T15:49:10Z)
• Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
  我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。 非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。 提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
  論文  参考訳（メタデータ） (2020-12-04T11:10:03Z)
• Probing Model Signal-Awareness via Prediction-Preserving Input Minimization [67.62847721118142]
  モデルが正しい脆弱性信号を捕捉して予測する能力を評価する。 SAR(Signal-Aware Recall)と呼ばれる新しい指標を用いて,モデルの信号認識を計測する。 その結果,90年代以降のリコールから60年代以降のリコールは,新たな指標で大幅に減少した。
  論文  参考訳（メタデータ） (2020-11-25T20:05:23Z)
• Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised Learning [71.17774313301753]
  本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。 ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
  論文  参考訳（メタデータ） (2020-06-05T03:03:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。