論文の概要: Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables
- arxiv url: http://arxiv.org/abs/2309.06223v3
- Date: Mon, 21 Oct 2024 12:11:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-10-22 13:13:56.398414
- Title: Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables
- Title(参考訳): DNNエクスプロイタブルにおける広帯域ビットフリップ攻撃面の発見
- Authors: Yanzuo Chen, Zhibo Liu, Yuanyuan Yuan, Sihang Hu, Tianxiang Li, Shuai Wang,
- Abstract要約: ビットフリップ攻撃(BFA)はディープニューラルネットワーク(DNN)を操作する
PyTorchのようなディープラーニング(DL)フレームワーク上で動作する高レベルのDNNモデルでは、モデル重み付けのビットをフリップするために広範囲なBFAが使用され、有効であることが示されている。
- 参考スコア(独自算出の注目度): 18.123649165203652
- License:
- Abstract: Bit-flip attacks (BFAs) can manipulate deep neural networks (DNNs). For high-level DNN models running on deep learning (DL) frameworks like PyTorch, extensive BFAs have been used to flip bits in model weights and shown effective. Defenses have also been proposed to guard model weights. However, DNNs are increasingly compiled into DNN executables by DL compilers to leverage hardware primitives. These executables manifest distinct computation paradigms; existing research fails to accurately capture and expose the BFA surfaces on DNN executables. To this end, we launch the first systematic study of BFAs on DNN executables. Prior BFAs are limited to attacking model weights and assume a strong whitebox attacker with full knowledge of victim model weights, which is unrealistic as weights are often confidential. In contrast, we find that BFAs on DNN executables can achieve high effectiveness by exploiting the model structure (usually stored in the executable code), which only requires knowing the (often public) model structure. Importantly, such structure-based BFAs are pervasive, transferable, and more severe in DNN executables. They also slip past existing defenses. To demonstrate the new attack surfaces, we assume a weak and more realistic attacker with no knowledge of victim model weights. We design an automated tool to identify vulnerable bits in victim executables with high confidence (70% vs. baseline 2%). We show on DDR4 DRAM that only 1.4 flips on average are needed to fully downgrade the accuracy of victim models, including quantized ones which could require 23x more flips previously, to random guesses. We comprehensively evaluate 16 DNN executables, covering large-scale models trained on commonly-used datasets compiled by the two most popular DL compilers. Our finding calls for incorporating security mechanisms in future DNN compilation toolchains.
- Abstract(参考訳): ビットフリップ攻撃(BFA)はディープニューラルネットワーク(DNN)を操作することができる。
PyTorchのようなディープラーニング(DL)フレームワーク上で動作する高レベルのDNNモデルでは、モデル重み付けのビットをフリップするために広範囲なBFAが使用され、有効であることが示されている。
モデルの重量を守るための防衛も提案されている。
しかし、DNNはDLコンパイラによってDNN実行ファイルにコンパイルされ、ハードウェアプリミティブを活用する。
これらの実行可能ファイルは異なる計算パラダイムを示しており、既存の研究はDNN実行可能ファイル上でBFA表面を正確にキャプチャして公開することができない。
この目的のために,我々は,DNN実行ファイル上でのBFAに関する最初の体系的研究を開始した。
以前のBFAは、モデルの重みを攻撃し、被害者のモデルの重みをフルに知る強力なホワイトボックス攻撃者を想定していた。
対照的に、DNN実行可能ファイル上のBFAは、モデル構造(通常は実行可能コードに格納される)を利用することで、(しばしば公開される)モデル構造を知ることしか必要としない、高い効率を実現することができる。
重要なことは、そのような構造ベースのBFAは、DNN実行ファイルにおいて広範で、転送可能で、より深刻である。
彼らはまた、既存の防御を乗り越えた。
新たな攻撃面を実証するため,犠牲者モデルの重みを知らない弱く現実的な攻撃者を想定した。
高信頼(ベースライン2%に対して70%)で被害者実行ファイルの脆弱なビットを識別する自動ツールを設計する。
DDR4 DRAMでは、推定値の23倍のフリップを必要とする量子化モデルを含む、犠牲者モデルの精度を完全に低下させるために、平均1.4フリップしか必要としないことを示した。
我々は16のDNN実行環境を包括的に評価し、最も人気のある2つのDLコンパイラによってコンパイルされた一般的なデータセットに基づいて訓練された大規模モデルを網羅した。
今後のDNNコンパイルツールチェーンにセキュリティメカニズムを組み込むことが求められます。
関連論文リスト
- MatchNAS: Optimizing Edge AI in Sparse-Label Data Contexts via
Automating Deep Neural Network Porting for Mobile Deployment [54.77943671991863]
MatchNASはDeep Neural Networksをモバイルデバイスに移植するための新しいスキームである。
ラベル付きデータと非ラベル付きデータの両方を用いて、大規模なネットワークファミリを最適化する。
そして、さまざまなハードウェアプラットフォーム用に調整されたネットワークを自動的に検索する。
論文 参考訳(メタデータ) (2024-02-21T04:43:12Z) - Decompiling x86 Deep Neural Network Executables [20.91585339813852]
BTD(Bin to DNN)は、ディープニューラルネットワーク(DNN)実行用のデコンパイラである。
BTDは, DNN実行環境に対して, 逆例生成と知識盗難の2つの代表的な攻撃を促進できることを示す。
論文 参考訳(メタデータ) (2022-10-03T16:48:18Z) - Robustness of Bayesian Neural Networks to White-Box Adversarial Attacks [55.531896312724555]
ベイジアンネットワーク(BNN)は、ランダム性を組み込むことで、敵の攻撃を扱うのに頑丈で適している。
我々はベイズ的推論(つまり変分ベイズ)をDenseNetアーキテクチャに融合させることで、BNN-DenseNetと呼ばれるBNNモデルを作成する。
逆向きに訓練されたBNNは、ほとんどの実験で非ベイズ的で逆向きに訓練されたBNNよりも優れています。
論文 参考訳(メタデータ) (2021-11-16T16:14:44Z) - HASHTAG: Hash Signatures for Online Detection of Fault-Injection Attacks
on Deep Neural Networks [14.192217297770378]
我々は,Deep Neural Networks (DNN) における障害注入攻撃の高精度検出を可能にする最初のフレームワークである HASHTAG を提案する。
近年のフォールトインジェクション攻撃では,ビットフリップによるDNNの精度低下が報告されている。
HASHTAGには,組込みプラットフォーム上での低オーバーヘッドかつリアルタイムな障害検出を実現する,軽量な方法論が組み込まれている。
論文 参考訳(メタデータ) (2021-11-02T22:47:24Z) - Sub-bit Neural Networks: Learning to Compress and Accelerate Binary
Neural Networks [72.81092567651395]
Sub-bit Neural Networks (SNN) は、BNNの圧縮と高速化に適した新しいタイプのバイナリ量子化設計である。
SNNは、微細な畳み込みカーネル空間におけるバイナリ量子化を利用するカーネル対応最適化フレームワークで訓練されている。
ビジュアル認識ベンチマークの実験とFPGA上でのハードウェア展開は、SNNの大きな可能性を検証する。
論文 参考訳(メタデータ) (2021-10-18T11:30:29Z) - HufuNet: Embedding the Left Piece as Watermark and Keeping the Right
Piece for Ownership Verification in Deep Neural Networks [16.388046449021466]
深部ニューラルネットワーク(DNN)を透かしする新しいソリューションを提案する。
HufuNetは、モデル微調整/pruning、カーネルのカットオフ/補完、機能相当の攻撃、不正所有クレームに対して非常に堅牢です。
論文 参考訳(メタデータ) (2021-03-25T06:55:22Z) - Deep Serial Number: Computational Watermarking for DNN Intellectual
Property Protection [53.40245698216239]
DSN(Deep Serial Number)はディープニューラルネットワーク(DNN)に特化した透かしアルゴリズムである。
従来のソフトウェアIPの保護においてシリアル番号に着想を得て,DNNに埋め込まれたシリアル番号の最初の実装を提案する。
論文 参考訳(メタデータ) (2020-11-17T21:42:40Z) - CodNN -- Robust Neural Networks From Coded Classification [27.38642191854458]
ディープニューラルネットワーク(Deep Neural Networks、DNN)は、現在進行中の情報革命における革命的な力である。
DNNは、敵対的であろうとランダムであろうと、ノイズに非常に敏感である。
これは、DNNのハードウェア実装と、自律運転のような重要なアプリケーションへの展開において、根本的な課題となる。
提案手法により,DNNのデータ層あるいは内部層は誤り訂正符号で符号化され,ノイズ下での計算が成功することが保証される。
論文 参考訳(メタデータ) (2020-04-22T17:07:15Z) - DeepHammer: Depleting the Intelligence of Deep Neural Networks through
Targeted Chain of Bit Flips [29.34622626909906]
量子化ディープニューラルネットワーク(DNN)に対するハードウェアベースの最初の攻撃を実演する。
DeepHammerは、数分で実行時にDNNの推論動作を修正することができる。
私たちの研究は、将来のディープラーニングシステムにセキュリティメカニズムを組み込む必要性を強調しています。
論文 参考訳(メタデータ) (2020-03-30T18:51:59Z) - Skip Connections Matter: On the Transferability of Adversarial Examples
Generated with ResNets [83.12737997548645]
スキップ接続は、現在最先端のディープニューラルネットワーク(DNN)の重要な構成要素である
スキップ接続を使用することで、高度に転送可能な逆例を簡単に生成できる。
我々は、ResNets、DenseNets、Inceptions、Inception-ResNet、Squeeze-and-Excitation Network (SENet)を含む最先端DNNに対する包括的な転送攻撃を行う。
論文 参考訳(メタデータ) (2020-02-14T12:09:21Z) - PatDNN: Achieving Real-Time DNN Execution on Mobile Devices with
Pattern-based Weight Pruning [57.20262984116752]
粗粒構造の内部に新しい次元、きめ細かなプルーニングパターンを導入し、これまで知られていなかった設計空間の点を明らかにした。
きめ細かいプルーニングパターンによって高い精度が実現されているため、コンパイラを使ってハードウェア効率を向上し、保証することがユニークな洞察である。
論文 参考訳(メタデータ) (2020-01-01T04:52:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。