論文の概要: Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables

• arxiv url: http://arxiv.org/abs/2309.06223v3
• Date: Mon, 21 Oct 2024 12:11:52 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-22 13:13:56.398414
• Title: Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables
• Title（参考訳）: DNNエクスプロイタブルにおける広帯域ビットフリップ攻撃面の発見
• Authors: Yanzuo Chen, Zhibo Liu, Yuanyuan Yuan, Sihang Hu, Tianxiang Li, Shuai Wang,
• Abstract要約: ビットフリップ攻撃(BFA)はディープニューラルネットワーク(DNN)を操作する PyTorchのようなディープラーニング(DL)フレームワーク上で動作する高レベルのDNNモデルでは、モデル重み付けのビットをフリップするために広範囲なBFAが使用され、有効であることが示されている。
• 参考スコア（独自算出の注目度）: 18.123649165203652
• License:
• Abstract: Bit-flip attacks (BFAs) can manipulate deep neural networks (DNNs). For high-level DNN models running on deep learning (DL) frameworks like PyTorch, extensive BFAs have been used to flip bits in model weights and shown effective. Defenses have also been proposed to guard model weights. However, DNNs are increasingly compiled into DNN executables by DL compilers to leverage hardware primitives. These executables manifest distinct computation paradigms; existing research fails to accurately capture and expose the BFA surfaces on DNN executables. To this end, we launch the first systematic study of BFAs on DNN executables. Prior BFAs are limited to attacking model weights and assume a strong whitebox attacker with full knowledge of victim model weights, which is unrealistic as weights are often confidential. In contrast, we find that BFAs on DNN executables can achieve high effectiveness by exploiting the model structure (usually stored in the executable code), which only requires knowing the (often public) model structure. Importantly, such structure-based BFAs are pervasive, transferable, and more severe in DNN executables. They also slip past existing defenses. To demonstrate the new attack surfaces, we assume a weak and more realistic attacker with no knowledge of victim model weights. We design an automated tool to identify vulnerable bits in victim executables with high confidence (70% vs. baseline 2%). We show on DDR4 DRAM that only 1.4 flips on average are needed to fully downgrade the accuracy of victim models, including quantized ones which could require 23x more flips previously, to random guesses. We comprehensively evaluate 16 DNN executables, covering large-scale models trained on commonly-used datasets compiled by the two most popular DL compilers. Our finding calls for incorporating security mechanisms in future DNN compilation toolchains.
• Abstract（参考訳）: ビットフリップ攻撃(BFA)はディープニューラルネットワーク(DNN)を操作することができる。 PyTorchのようなディープラーニング(DL)フレームワーク上で動作する高レベルのDNNモデルでは、モデル重み付けのビットをフリップするために広範囲なBFAが使用され、有効であることが示されている。 モデルの重量を守るための防衛も提案されている。 しかし、DNNはDLコンパイラによってDNN実行ファイルにコンパイルされ、ハードウェアプリミティブを活用する。 これらの実行可能ファイルは異なる計算パラダイムを示しており、既存の研究はDNN実行可能ファイル上でBFA表面を正確にキャプチャして公開することができない。 この目的のために,我々は,DNN実行ファイル上でのBFAに関する最初の体系的研究を開始した。 以前のBFAは、モデルの重みを攻撃し、被害者のモデルの重みをフルに知る強力なホワイトボックス攻撃者を想定していた。 対照的に、DNN実行可能ファイル上のBFAは、モデル構造(通常は実行可能コードに格納される)を利用することで、(しばしば公開される)モデル構造を知ることしか必要としない、高い効率を実現することができる。 重要なことは、そのような構造ベースのBFAは、DNN実行ファイルにおいて広範で、転送可能で、より深刻である。 彼らはまた、既存の防御を乗り越えた。 新たな攻撃面を実証するため,犠牲者モデルの重みを知らない弱く現実的な攻撃者を想定した。 高信頼(ベースライン2%に対して70%)で被害者実行ファイルの脆弱なビットを識別する自動ツールを設計する。 DDR4 DRAMでは、推定値の23倍のフリップを必要とする量子化モデルを含む、犠牲者モデルの精度を完全に低下させるために、平均1.4フリップしか必要としないことを示した。 我々は16のDNN実行環境を包括的に評価し、最も人気のある2つのDLコンパイラによってコンパイルされた一般的なデータセットに基づいて訓練された大規模モデルを網羅した。 今後のDNNコンパイルツールチェーンにセキュリティメカニズムを組み込むことが求められます。

関連論文リスト

• Link Stealing Attacks Against Inductive Graph Neural Networks [60.931106032824275]
  グラフニューラルネットワーク(GNN)は、グラフ構造化データを処理するように設計されたニューラルネットワークの一種である。 これまでの研究によると、トランスダクティブGNNは一連のプライバシー攻撃に弱い。 本稿では,リンク盗難攻撃のレンズを通して,誘導型GNNの包括的プライバシー分析を行う。
  論文  参考訳（メタデータ） (2024-05-09T14:03:52Z)
• ELEGANT: Certified Defense on the Fairness of Graph Neural Networks [94.10433608311604]
  グラフニューラルネットワーク(GNN)は,グラフベースのタスクにおいて,目立ったグラフ学習モデルとして登場した。 悪意のある攻撃者は、入力グラフデータに摂動を追加することで、予測の公平度を容易に損なうことができる。 本稿では, ELEGANT というフレームワークを提案し, GNN の公正度レベルにおける認証防御の新たな課題について検討する。
  論文  参考訳（メタデータ） (2023-11-05T20:29:40Z)
• One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
  メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。 本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
  論文  参考訳（メタデータ） (2023-08-12T09:34:43Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Quantization Aware Attack: Enhancing Transferable Adversarial Attacks by Model Quantization [57.87950229651958]
  量子ニューラルネットワーク(QNN)は、異常な一般化性のため、リソース制約のあるシナリオに注目が集まっている。 従来の研究では、ビット幅の異なるQNN間で転送性を実現することは困難であった。 マルチビット学習目的のQNN代替モデルを微調整するテキスト品質認識攻撃(QAA)を提案する。
  論文  参考訳（メタデータ） (2023-05-10T03:46:53Z)
• EZClone: Improving DNN Model Extraction Attack via Shape Distillation from GPU Execution Profiles [0.1529342790344802]
  Deep Neural Networks (DNN) は、予測や分類問題のパフォーマンスのため、ユビキタスになった。 利用が広がるにつれ、さまざまな脅威に直面している。 DNNを盗み、知的財産権、データプライバシ、セキュリティを脅かすモデル抽出攻撃。 様々な脅威モデルに対応する2つの手法を提案する。
  論文  参考訳（メタデータ） (2023-04-06T21:40:09Z)
• Robustness of Bayesian Neural Networks to White-Box Adversarial Attacks [55.531896312724555]
  ベイジアンネットワーク(BNN)は、ランダム性を組み込むことで、敵の攻撃を扱うのに頑丈で適している。 我々はベイズ的推論(つまり変分ベイズ)をDenseNetアーキテクチャに融合させることで、BNN-DenseNetと呼ばれるBNNモデルを作成する。 逆向きに訓練されたBNNは、ほとんどの実験で非ベイズ的で逆向きに訓練されたBNNよりも優れています。
  論文  参考訳（メタデータ） (2021-11-16T16:14:44Z)
• DeepSteal: Advanced Model Extractions Leveraging Efficient Weight Stealing in Memories [26.067920958354]
  Deep Neural Networks(DNN)のプライバシに対する大きな脅威の1つは、モデル抽出攻撃である。 最近の研究によると、ハードウェアベースのサイドチャネル攻撃はDNNモデル(例えばモデルアーキテクチャ)の内部知識を明らかにすることができる。 本稿では,メモリサイドチャネル攻撃の助けを借りてDNN重みを効果的に盗む,高度なモデル抽出攻撃フレームワークであるDeepStealを提案する。
  論文  参考訳（メタデータ） (2021-11-08T16:55:45Z)
• ZeBRA: Precisely Destroying Neural Networks with Zero-Data Based Repeated Bit Flip Attack [10.31732879936362]
  我々は、ディープニューラルネットワーク(DNN)を正確に破壊するゼロデータベースの繰り返しビットフリップアタック(ZeBRA)を提案する。 我々のアプローチは、DNNの安全のために敵の重量攻撃をより致命的なものにしている。
  論文  参考訳（メタデータ） (2021-11-01T16:44:20Z)
• HufuNet: Embedding the Left Piece as Watermark and Keeping the Right Piece for Ownership Verification in Deep Neural Networks [16.388046449021466]
  深部ニューラルネットワーク(DNN)を透かしする新しいソリューションを提案する。 HufuNetは、モデル微調整/pruning、カーネルのカットオフ/補完、機能相当の攻撃、不正所有クレームに対して非常に堅牢です。
  論文  参考訳（メタデータ） (2021-03-25T06:55:22Z)
• DeepHammer: Depleting the Intelligence of Deep Neural Networks through Targeted Chain of Bit Flips [29.34622626909906]
  量子化ディープニューラルネットワーク(DNN)に対するハードウェアベースの最初の攻撃を実演する。 DeepHammerは、数分で実行時にDNNの推論動作を修正することができる。 私たちの研究は、将来のディープラーニングシステムにセキュリティメカニズムを組み込む必要性を強調しています。
  論文  参考訳（メタデータ） (2020-03-30T18:51:59Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。