論文の概要: Co(ve)rtex: ML Models as storage channels and their (mis-)applications

• arxiv url: http://arxiv.org/abs/2307.08811v3
• Date: Sat, 11 May 2024 23:04:12 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-15 01:32:16.943093
• Title: Co(ve)rtex: ML Models as storage channels and their (mis-)applications
• Title（参考訳）: Co(ve)rtex:ストレージチャネルとしてのMLモデルとその(ミス)応用
• Authors: Md Abdullah Al Mamun, Quazi Mishkatul Alam, Erfan Shayegani, Pedram Zaree, Ihsen Alouani, Nael Abu-Ghazaleh,
• Abstract要約: 機械学習システムでは、不注意な状態と未定義の振る舞いが重大な脆弱性の原因であることが示されている。 MLモデルは,パラメータ化の超過に伴って増大するキャパシティを持つストレージチャネルであると考えている。 本稿では,ML固有の置換に基づく誤り訂正プロトコルを含む,このケースにおけるキャパシティ向上のための最適化手法を提案する。
• 参考スコア（独自算出の注目度）: 2.792027541710663
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Machine learning (ML) models are overparameterized to support generality and avoid overfitting. The state of these parameters is essentially a "don't-care" with respect to the primary model provided that this state does not interfere with the primary model. In both hardware and software systems, don't-care states and undefined behavior have been shown to be sources of significant vulnerabilities. In this paper, we propose a new information theoretic perspective of the problem; we consider the ML model as a storage channel with a capacity that increases with overparameterization. Specifically, we consider a sender that embeds arbitrary information in the model at training time, which can be extracted by a receiver with a black-box access to the deployed model. We derive an upper bound on the capacity of the channel based on the number of available unused parameters. We then explore black-box write and read primitives that allow the attacker to:(i) store data in an optimized way within the model by augmenting the training data at the transmitter side, and (ii) to read it by querying the model after it is deployed. We also consider a new version of the problem which takes information storage covertness into account. Specifically, to obtain storage covertness, we introduce a new constraint such that the data augmentation used for the write primitives minimizes the distribution shift with the initial (baseline task) distribution. This constraint introduces a level of "interference" with the initial task, thereby limiting the channel's effective capacity. Therefore, we develop optimizations to improve the capacity in this case, including a novel ML-specific substitution based error correction protocol. We believe that the proposed modeling of the problem offers new tools to better understand and mitigate potential vulnerabilities of ML, especially in the context of increasingly large models.
• Abstract（参考訳）: 機械学習(ML)モデルは、一般性をサポートし、過剰適合を避けるために過パラメータ化される。 これらのパラメータの状態は、この状態がプライマリモデルに干渉しないことを前提としたプライマリモデルに関して、本質的には「不注意」である。 ハードウェアシステムとソフトウェアシステムの両方では、不注意な状態と未定義の振る舞いが重大な脆弱性の原因であることが示されている。 本稿では,この問題に対する新たな情報理論的視点を提案する。我々はMLモデルを,過パラメータ化に伴って増加する容量を持つ記憶チャネルと考える。 具体的には、トレーニング時に任意の情報をモデルに埋め込む送信機について検討する。 利用可能な未使用パラメータの数に基づいて、チャネルの容量の上限を導出する。 次に、攻撃者が許可するプリミティブをブラックボックスで書き読みます。 一 トレーニングデータを送信側で増強し、モデル内に最適化された方法で保存すること。 (ii) モデルがデプロイされた後に問い合わせて読むこと。 また,情報記憶の秘密性を考慮に入れた新たな問題も検討する。 具体的には,書き込みプリミティブに使用されるデータ拡張が,初期(ベースラインタスク)分布による分散シフトを最小限に抑える,新たな制約を導入する。 この制約は、初期タスクとの"干渉"のレベルを導入し、それによってチャネルの有効容量を制限する。 そこで我々は、ML固有の置換に基づく誤り訂正プロトコルを含む、このケースにおけるキャパシティ向上のための最適化を開発する。 この問題のモデリングはMLの潜在的な脆弱性をよりよく理解し緩和するための新しいツールを提供すると我々は信じている。

関連論文リスト

• AI Model Disgorgement: Methods and Choices [127.54319351058167]
  本稿では,現代の機械学習システムに適用可能な分類法を紹介する。 学習モデルにおけるデータ「効果の除去」の意味を,スクラッチからリトレーニングする必要のない方法で検討する。
  論文  参考訳（メタデータ） (2023-04-07T08:50:18Z)
• Partially Oblivious Neural Network Inference [4.843820624525483]
  CNNのようなニューラルネットワークモデルでは、いくつかの情報漏洩が許容可能であることを示す。 我々は,CIFAR-10ネットワークにおいて,モデル重量の最大80%を,事実上のセキュリティ上の影響なく漏洩させることができることを実験的に実証した。
  論文  参考訳（メタデータ） (2022-10-27T05:39:36Z)
• Scaling up Trustless DNN Inference with Zero-Knowledge Proofs [47.42532753464726]
  本稿では,MLモデル推論を非インタラクティブに検証する,最初の実用的なImageNet-scale法を提案する。 フル解像度のImageNetモデルに対する有効な推論のZKSNARK証明を初めて提供し、79%のトップ5精度を実現した。
  論文  参考訳（メタデータ） (2022-10-17T00:35:38Z)
• How to Robustify Black-Box ML Models? A Zeroth-Order Optimization Perspective [74.47093382436823]
  入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法? 我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。 我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
  論文  参考訳（メタデータ） (2022-03-27T03:23:32Z)
• Zero-Shot Machine Unlearning [6.884272840652062]
  現代のプライバシー規制は、市民に製品、サービス、企業によって忘れられる権利を与える。 トレーニングプロセスやトレーニングサンプルに関連するデータは、未学習の目的のためにアクセスできない。 本稿では, (a) 誤り最小化雑音と (b) ゲート付き知識伝達に基づくゼロショットマシンアンラーニングのための2つの新しい解を提案する。
  論文  参考訳（メタデータ） (2022-01-14T19:16:09Z)
• Reducing Unintended Bias of ML Models on Tabular and Textual Data [5.503546193689538]
  我々は、より公平なモデルを構築するために、"無意識によるフェアネス"アプローチにインスパイアされたフレームワークであるFixOutを再考する。 FixOutのパラメータの選択を自動化するなど、いくつかの改善点を紹介します。 我々は、FixOutが異なる分類設定におけるプロセスの公平性を改善することを示す実験結果をいくつか提示する。
  論文  参考訳（メタデータ） (2021-08-05T14:55:56Z)
• Discrete Auto-regressive Variational Attention Models for Text Modeling [53.38382932162732]
  変分オートエンコーダ(VAE)はテキストモデリングに広く応用されている。 情報不足と後部崩壊という2つの課題に悩まされている。 本稿では,自己回帰変動注意モデル(DAVAM)を提案する。
  論文  参考訳（メタデータ） (2021-06-16T06:36:26Z)
• Probing Model Signal-Awareness via Prediction-Preserving Input Minimization [67.62847721118142]
  モデルが正しい脆弱性信号を捕捉して予測する能力を評価する。 SAR(Signal-Aware Recall)と呼ばれる新しい指標を用いて,モデルの信号認識を計測する。 その結果,90年代以降のリコールから60年代以降のリコールは,新たな指標で大幅に減少した。
  論文  参考訳（メタデータ） (2020-11-25T20:05:23Z)
• Transfer Learning without Knowing: Reprogramming Black-box Machine Learning Models with Scarce Data and Limited Resources [78.72922528736011]
  そこで我々は,ブラックボックス・アタベラル・リプログラミング (BAR) という新しい手法を提案する。 ゼロオーダー最適化とマルチラベルマッピング技術を用いて、BARは入力出力応答のみに基づいてブラックボックスMLモデルをプログラムする。 BARは最先端の手法より優れ、バニラ対逆プログラミング法に匹敵する性能を得る。
  論文  参考訳（メタデータ） (2020-07-17T01:52:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。