論文の概要: The Adversarial Implications of Variable-Time Inference

• arxiv url: http://arxiv.org/abs/2309.02159v1
• Date: Tue, 5 Sep 2023 11:53:17 GMT
• ステータス: 処理完了
• システム内更新日: 2023-09-06 15:04:40.592016
• Title: The Adversarial Implications of Variable-Time Inference
• Title（参考訳）: 可変時間推論の逆意味
• Authors: Dudi Biton, Aditi Misra, Efrat Levy, Jaidip Kotak, Ron Bitton, Roei Schuster, Nicolas Papernot, Yuval Elovici, Ben Nassi
• Abstract要約: 本稿では,攻撃対象のMLモデルの予測を後処理するアルゴリズムの実行時間を簡単に計測する,新たなサイドチャネルを利用するアプローチを提案する。 我々は,物体検出装置の動作において重要な役割を果たす非最大抑圧(NMS)アルゴリズムからの漏れを調査する。 我々は、YOLOv3検出器に対する攻撃を実演し、タイミングリークを利用して、逆例を用いてオブジェクト検出を回避し、データセット推論を行う。
• 参考スコア（独自算出の注目度）: 47.44631666803983
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Machine learning (ML) models are known to be vulnerable to a number of attacks that target the integrity of their predictions or the privacy of their training data. To carry out these attacks, a black-box adversary must typically possess the ability to query the model and observe its outputs (e.g., labels). In this work, we demonstrate, for the first time, the ability to enhance such decision-based attacks. To accomplish this, we present an approach that exploits a novel side channel in which the adversary simply measures the execution time of the algorithm used to post-process the predictions of the ML model under attack. The leakage of inference-state elements into algorithmic timing side channels has never been studied before, and we have found that it can contain rich information that facilitates superior timing attacks that significantly outperform attacks based solely on label outputs. In a case study, we investigate leakage from the non-maximum suppression (NMS) algorithm, which plays a crucial role in the operation of object detectors. In our examination of the timing side-channel vulnerabilities associated with this algorithm, we identified the potential to enhance decision-based attacks. We demonstrate attacks against the YOLOv3 detector, leveraging the timing leakage to successfully evade object detection using adversarial examples, and perform dataset inference. Our experiments show that our adversarial examples exhibit superior perturbation quality compared to a decision-based attack. In addition, we present a new threat model in which dataset inference based solely on timing leakage is performed. To address the timing leakage vulnerability inherent in the NMS algorithm, we explore the potential and limitations of implementing constant-time inference passes as a mitigation strategy.
• Abstract（参考訳）: 機械学習(ML)モデルは、予測の完全性やトレーニングデータのプライバシを目標とする数多くの攻撃に対して脆弱であることが知られている。 これらの攻撃を実行するために、ブラックボックスの敵は通常、モデルに問い合わせてその出力(例えばラベル)を観察する能力を持つ必要がある。 本研究では,このような意思決定に基づく攻撃を,初めて強化できることを実証する。 これを実現するために,攻撃対象のMLモデルの予測を後処理するアルゴリズムの実行時間を簡単に計測する,新たなサイドチャネルを利用する手法を提案する。 これまでアルゴリズムによるタイミングサイドチャネルへの推論状態要素のリークは研究されておらず、ラベル出力のみに基づく攻撃よりも優れたタイミング攻撃を容易にする豊富な情報を含むことが判明した。 本研究では,物体検出装置の動作において重要な役割を果たす非最大抑制(nms)アルゴリズムからの漏洩について検討する。 本アルゴリズムに付随するタイミングサイドチャネル脆弱性について検討し,意思決定に基づく攻撃の可能性を明らかにした。 我々は、YOLOv3検出器に対する攻撃を実演し、タイミングリークを利用して、逆例を用いてオブジェクト検出を回避し、データセット推論を行う。 実験の結果,提案手法は決定に基づく攻撃よりも摂動品質が優れていることが示された。 さらに,タイミングリークのみに基づくデータセット推論を行う新たな脅威モデルを提案する。 NMSアルゴリズムに固有のタイミングリーク脆弱性に対処するために,定数時間推論パスを実装する可能性と限界を緩和戦略として検討する。

関連論文リスト

• Token-Level Adversarial Prompt Detection Based on Perplexity Measures and Contextual Information [67.78183175605761]
  大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。 この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。 トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-11-20T03:17:21Z)
• Adversarial Attacks Against Uncertainty Quantification [10.655660123083607]
  この研究は、攻撃者が依然として不確実性推定を操作することに興味を持つ異なる敵シナリオに焦点を当てる。 特に、アウトプットが下流モジュールや人間のオペレータによって消費される場合、機械学習モデルの使用を損なうことが目標である。
  論文  参考訳（メタデータ） (2023-09-19T12:54:09Z)
• Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack [53.032801921915436]
  HAR(Human Activity Recognition)は、自動運転車など、幅広い用途に採用されている。 近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。 攻撃者がモデルの入出力しかアクセスできない場合でも、そのような脅威が存在することを示す。 BASARと呼ばれる骨格をベースとしたHARにおいて,最初のブラックボックス攻撃手法を提案する。
  論文  参考訳（メタデータ） (2022-11-21T09:51:28Z)
• Robustly-reliable learners under poisoning attacks [38.55373038919402]
  複数の軸にまたがる攻撃に直面して強靭性を保証する方法を示す。 我々は、敵が所定の汚職予算を超過していない限り、予測されたラベルが正しいことが保証される、信頼性の高い予測を提供する。 注目すべきは、この設定における学習可能性の完全な特徴付け、特に、認定可能な領域上の上と下の境界にほぼ整合するものである。
  論文  参考訳（メタデータ） (2022-03-08T15:43:33Z)
• Balancing detectability and performance of attacks on the control channel of Markov Decision Processes [77.66954176188426]
  マルコフ決定過程(MDPs)の制御チャネルにおける最適ステルス毒素攻撃の設計問題について検討する。 この研究は、MDPに適用された敵国・毒殺攻撃や強化学習(RL)手法に対する研究コミュニティの最近の関心に動機づけられている。
  論文  参考訳（メタデータ） (2021-09-15T09:13:10Z)
• Learning and Certification under Instance-targeted Poisoning [49.55596073963654]
  インスタンスターゲット中毒攻撃におけるPAC学習性と認証について検討する。 敵の予算がサンプルの複雑さに比例してスケールすると、PACの学習性と認定が達成可能であることを示す。 実データセット上でのK近傍, ロジスティック回帰, 多層パーセプトロン, 畳み込みニューラルネットワークの堅牢性を実証的に検討する。
  論文  参考訳（メタデータ） (2021-05-18T17:48:15Z)
• Adversarial Targeted Forgetting in Regularization and Generative Based Continual Learning Models [2.8021833233819486]
  継続的(あるいはインクリメンタル)な学習アプローチは、その後のバッチやストリーミングデータから追加の知識やタスクを学ぶ必要がある場合に使用される。 知的敵は、既存の知識を時間とともに保持する連続学習アルゴリズムの能力を活用できることを示す。 敵は、そのタスクのテストインスタンスに慎重に設計されたバックドアサンプルを挿入することで、任意のタスクについて「偽のメモリ」を作成できることを示します。
  論文  参考訳（メタデータ） (2021-02-16T18:45:01Z)
• Random Projections for Adversarial Attack Detection [8.684378639046644]
  敵の攻撃検出は 2つの観点から 根本的な問題です 本稿では,無作為射影の特殊特性を利用して,清潔で敵対的な例の挙動を特徴付ける手法を提案する。 性能評価は私達の技術が($>0.92$ AUC)技術(SOTA)攻撃戦略の競争状態を上回っていることを示します。
  論文  参考訳（メタデータ） (2020-12-11T15:02:28Z)
• A black-box adversarial attack for poisoning clustering [78.19784577498031]
  本稿では,クラスタリングアルゴリズムのロバスト性をテストするために,ブラックボックス対逆攻撃法を提案する。 我々の攻撃は、SVM、ランダムフォレスト、ニューラルネットワークなどの教師付きアルゴリズムに対しても転送可能であることを示す。
  論文  参考訳（メタデータ） (2020-09-09T18:19:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。