論文の概要: Pareto-Secure Machine Learning (PSML): Fingerprinting and Securing Inference Serving Systems

• arxiv url: http://arxiv.org/abs/2307.01292v2
• Date: Sun, 6 Aug 2023 19:17:07 GMT
• ステータス: 処理完了
• システム内更新日: 2023-08-08 22:20:36.722843
• Title: Pareto-Secure Machine Learning (PSML): Fingerprinting and Securing Inference Serving Systems
• Title（参考訳）: Pareto-Secure Machine Learning (PSML):フィンガープリントとセキュア推論サービングシステム
• Authors: Debopam Sanyal (Georgia Institute of Technology), Jui-Tse Hung (Georgia Institute of Technology), Manav Agrawal (Georgia Institute of Technology), Prahlad Jasti (Georgia Institute of Technology), Shahab Nikkhoo (University of California, Riverside), Somesh Jha (University of Wisconsin-Madison), Tianhao Wang (University of Virginia), Sibin Mohan (George Washington University), Alexey Tumanov (Georgia Institute of Technology)
• Abstract要約: 既存のブラックボックス攻撃では、推論要求を行うために単一のモデルを繰り返し選択できると仮定している。 そこで本研究では,攻撃者が希望するモデルを連続的にトリガーできるように,クエリ効率のよいフィンガープリントアルゴリズムを提案する。 我々は,特定の性能指標にノイズを加えることで,指紋認証を阻止するノイズベースの防御機構を用いて,提案攻撃を阻止する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Model-serving systems have become increasingly popular, especially in real-time web applications. In such systems, users send queries to the server and specify the desired performance metrics (e.g., desired accuracy, latency). The server maintains a set of models (model zoo) in the back-end and serves the queries based on the specified metrics. This paper examines the security, specifically robustness against model extraction attacks, of such systems. Existing black-box attacks assume a single model can be repeatedly selected for serving inference requests. Modern inference serving systems break this assumption. Thus, they cannot be directly applied to extract a victim model, as models are hidden behind a layer of abstraction exposed by the serving system. An attacker can no longer identify which model she is interacting with. To this end, we first propose a query-efficient fingerprinting algorithm to enable the attacker to trigger any desired model consistently. We show that by using our fingerprinting algorithm, model extraction can have fidelity and accuracy scores within $1\%$ of the scores obtained when attacking a single, explicitly specified model, as well as up to $14.6\%$ gain in accuracy and up to $7.7\%$ gain in fidelity compared to the naive attack. Second, we counter the proposed attack with a noise-based defense mechanism that thwarts fingerprinting by adding noise to the specified performance metrics. The proposed defense strategy reduces the attack's accuracy and fidelity by up to $9.8\%$ and $4.8\%$, respectively (on medium-sized model extraction). Third, we show that the proposed defense induces a fundamental trade-off between the level of protection and system goodput, achieving configurable and significant victim model extraction protection while maintaining acceptable goodput ($>80\%$). We implement the proposed defense in a real system with plans to open source.
• Abstract（参考訳）: モデル提供システムは、特にリアルタイムウェブアプリケーションで人気が高まっている。 そのようなシステムでは、ユーザはサーバにクエリを送り、望ましいパフォーマンスメトリクス(例えば、望ましい精度、レイテンシ)を指定する。 サーバはバックエンドに一連のモデル(モデルzoo)を保持し、指定されたメトリクスに基づいてクエリを提供する。 本稿では,このようなシステムの安全性,特にモデル抽出攻撃に対する堅牢性について検討する。 既存のブラックボックス攻撃では、推論要求を行うために単一のモデルを繰り返し選択できると仮定している。 現代の推論サービスシステムは、この仮定を破る。 したがって、モデルがサービスシステムによって露呈される抽象層の後ろに隠れているため、被害者モデルを抽出するために直接適用することはできない。 攻撃者は、相互作用しているモデルを特定することができない。 この目的のために,まず,攻撃者が望ましいモデルを連続的にトリガーできるように,クエリ効率のよいフィンガープリントアルゴリズムを提案する。 フィンガープリンティングアルゴリズムを用いて、モデル抽出は、1つの明示されたモデルを攻撃する際に得られたスコアの1\%$以内に忠実度と精度のスコアを持ち、また14.6\%$の精度のゲインと7.7\%のフィデリティのゲインを持つことを示した。 第2に,特定性能指標にノイズを付加することにより,フィンガープリンティングを妨害するノイズベースの防御機構による攻撃対策を行う。 提案された防衛戦略は攻撃の精度と忠実度を最大9.8 %$と4.8 %$に下げる(中規模モデル抽出の場合)。 第3に,提案する防御は,保護レベルとシステムグッドプットとの根本的なトレードオフを生じさせ,許容できるグッドプット(>80\%$)を維持しつつ構成可能かつ重大な被害者モデル抽出保護を実現する。 提案する防御を,オープンソースとして実システムで実装する。

関連論文リスト

• ASPIRER: Bypassing System Prompts With Permutation-based Backdoors in LLMs [17.853862145962292]
  システムプロンプトを体系的に回避する新しいバックドアアタックを導入する。 本手法は,98.58%のクリーン精度(CACC)を維持しつつ,攻撃成功率(ASR)を99.50%まで達成する。
  論文  参考訳（メタデータ） (2024-10-05T02:58:20Z)
• Model Pairing Using Embedding Translation for Backdoor Attack Detection on Open-Set Classification Tasks [63.269788236474234]
  バックドア検出のためのオープンセット分類タスクにモデルペアを用いることを提案する。 このスコアは、異なるアーキテクチャのモデルがあるにもかかわらず、バックドアの存在を示す指標であることを示している。 この技術は、オープンセット分類タスク用に設計されたモデル上のバックドアの検出を可能にするが、文献ではほとんど研究されていない。
  論文  参考訳（メタデータ） (2024-02-28T21:29:16Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Careful What You Wish For: on the Extraction of Adversarially Trained Models [2.707154152696381]
  最近の機械学習(ML)モデルに対する攻撃は、いくつかのセキュリティとプライバシの脅威を引き起こす。 本稿では,敵の学習したモデルに対する抽出攻撃を評価する枠組みを提案する。 本研究では, 自然学習環境下で得られたモデルよりも, 敵の訓練を受けたモデルの方が抽出攻撃に対して脆弱であることを示す。
  論文  参考訳（メタデータ） (2022-07-21T16:04:37Z)
• A Unified Evaluation of Textual Backdoor Learning: Frameworks and Benchmarks [72.7373468905418]
  我々は,テキストバックドア学習の実装と評価を促進するオープンソースツールキットOpenBackdoorを開発した。 また,単純なクラスタリングに基づく防御ベースラインであるCUBEを提案する。
  論文  参考訳（メタデータ） (2022-06-17T02:29:23Z)
• Fingerprinting Deep Neural Networks Globally via Universal Adversarial Perturbations [22.89321897726347]
  本稿では,被害者モデルから被疑者モデルが盗まれたかどうかをサービス提供者が検証できるようにする,新しい,実用的なメカニズムを提案する。 我々のフレームワークは、容疑者モデルの指紋が20ドル以内で、信頼度99.99 %のモデルIP侵害を検出することができる。
  論文  参考訳（メタデータ） (2022-02-17T11:29:50Z)
• Increasing the Cost of Model Extraction with Calibrated Proof of Work [25.096196576476885]
  モデル抽出攻撃では、敵はパブリックAPIを通じて公開された機械学習モデルを盗むことができる。 我々は,モデルの予測を読み取る前に,ユーザが作業の証明を完了するように提案する。
  論文  参考訳（メタデータ） (2022-01-23T12:21:28Z)
• Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
  私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。 いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。 我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
  論文  参考訳（メタデータ） (2021-08-25T15:49:10Z)
• Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
  我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。 非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。 提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
  論文  参考訳（メタデータ） (2020-12-04T11:10:03Z)
• Probing Model Signal-Awareness via Prediction-Preserving Input Minimization [67.62847721118142]
  モデルが正しい脆弱性信号を捕捉して予測する能力を評価する。 SAR(Signal-Aware Recall)と呼ばれる新しい指標を用いて,モデルの信号認識を計測する。 その結果,90年代以降のリコールから60年代以降のリコールは,新たな指標で大幅に減少した。
  論文  参考訳（メタデータ） (2020-11-25T20:05:23Z)
• Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised Learning [71.17774313301753]
  本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。 ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
  論文  参考訳（メタデータ） (2020-06-05T03:03:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。