論文の概要: One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training
- arxiv url: http://arxiv.org/abs/2308.07934v1
- Date: Sat, 12 Aug 2023 09:34:43 GMT
- ステータス: 処理完了
- システム内更新日: 2023-08-17 16:15:06.437656
- Title: One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training
- Title(参考訳): 1ビットのフリップ:ビットフリップ攻撃がモデルトレーニングに遭遇する時
- Authors: Jianshuo Dong, Han Qiu, Yiming Li, Tianwei Zhang, Yuanjie Li, Zeqi
Lai, Chao Zhang, Shu-Tao Xia
- Abstract要約: メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
- 参考スコア(独自算出の注目度): 54.622474306336635
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Deep neural networks (DNNs) are widely deployed on real-world devices.
Concerns regarding their security have gained great attention from researchers.
Recently, a new weight modification attack called bit flip attack (BFA) was
proposed, which exploits memory fault inject techniques such as row hammer to
attack quantized models in the deployment stage. With only a few bit flips, the
target model can be rendered useless as a random guesser or even be implanted
with malicious functionalities. In this work, we seek to further reduce the
number of bit flips. We propose a training-assisted bit flip attack, in which
the adversary is involved in the training stage to build a high-risk model to
release. This high-risk model, obtained coupled with a corresponding malicious
model, behaves normally and can escape various detection methods. The results
on benchmark datasets show that an adversary can easily convert this high-risk
but normal model to a malicious one on victim's side by \textbf{flipping only
one critical bit} on average in the deployment stage. Moreover, our attack
still poses a significant threat even when defenses are employed. The codes for
reproducing main experiments are available at
\url{https://github.com/jianshuod/TBA}.
- Abstract(参考訳): ディープニューラルネットワーク(dnn)は、現実世界のデバイスに広くデプロイされる。
セキュリティに関する懸念は研究者から大きな注目を集めている。
近年、ビットフリップアタック(bfa)と呼ばれる新しい重み付けアタックが提案され、ローハンマーなどのメモリ障害インジェクション技術を利用して、展開段階で量子化されたモデルを攻撃する。
わずか数ビットのフリップで、ターゲットモデルはランダムな推測器として役に立たず、悪意のある機能で埋め込むこともできる。
この作業では、ビットフリップの数をさらに減らそうとしています。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
このリスクの高いモデルは、対応する悪意のあるモデルと組み合わせられ、正常に動作し、様々な検出方法から逃れることができる。
ベンチマークデータセットの結果から,このハイリスクだが正常なモデルを,デプロイ段階では平均して1つのクリティカルビットのみを選択すれば,被害者側の悪意のあるモデルに簡単に変換できることが分かる。
さらに,我々の攻撃は,防衛を施しても重大な脅威となる。
主な実験を再現するためのコードは \url{https://github.com/jianshuod/tba} で入手できる。
関連論文リスト
- Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。
本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。
この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文 参考訳(メタデータ) (2023-12-31T06:43:36Z) - Membership Inference Attacks on Diffusion Models via Quantile Regression [30.30033625685376]
我々は,家族関係推論(MI)攻撃による拡散モデルのプライバシー上の脆弱性を実証する。
提案したMI攻撃は、トレーニングに使用されていない例における再構成損失の分布を予測(定量化)する量子レグレッションモデルを学習する。
我々の攻撃は従来の最先端攻撃よりも優れており、計算コストは著しく低い。
論文 参考訳(メタデータ) (2023-12-08T16:21:24Z) - Fault Injection and Safe-Error Attack for Extraction of Embedded Neural
Network Models [1.3654846342364308]
モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。
攻撃を成功させるためのブラックボックス手法を提案する。
古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
論文 参考訳(メタデータ) (2023-08-31T13:09:33Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - How to choose your best allies for a transferable attack? [26.669765474142995]
敵対的な例の転送可能性は、ディープニューラルネットワークのセキュリティにおいて重要な問題である。
新たなツールは、攻撃者がソースモデルをランダムに選択した場合、転送可能な攻撃はブラックボックス攻撃よりもはるかに悪い可能性があることを示している。
FiTは複数のシナリオで最適なソースモデルを選択するのに非常に効果的です。
論文 参考訳(メタデータ) (2023-04-05T09:08:02Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。
非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。
提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
論文 参考訳(メタデータ) (2020-12-04T11:10:03Z) - Adversarial examples are useful too! [47.64219291655723]
モデルがバックドア攻撃を受けたかどうかを判断する新しい手法を提案する。
その考え方は、FGSMのような従来の攻撃を用いて、標的または未標的の敵の例を生成することである。
障害のある地域を視覚的に見つけて、攻撃を露呈することができる。
論文 参考訳(メタデータ) (2020-05-13T01:38:56Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。