論文の概要: Seeing Is Not Always Believing: Invisible Collision Attack and Defence on Pre-Trained Models

• arxiv url: http://arxiv.org/abs/2309.13579v2
• Date: Tue, 7 May 2024 16:27:05 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-08 20:13:36.792833
• Title: Seeing Is Not Always Believing: Invisible Collision Attack and Defence on Pre-Trained Models
• Title（参考訳）: 目に見える衝突攻撃と事前訓練されたモデルの防御
• Authors: Minghang Deng, Zhong Zhang, Junming Shao,
• Abstract要約: 既存のバックドア攻撃やデータ中毒は、攻撃者が被害者のコンピュータに侵入したり、ターゲットデータにアクセスしたりするという仮定を立証することが多い。 本稿では,MD5衝突を増強したPTMに対する目に見えない攻撃のための新しい枠組みを提案する。 提案する攻撃法と防御法の有効性を,異なるモデルとデータセット上で広範囲に検証する。
• 参考スコア（独自算出の注目度）: 7.7318705389136655
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Large-scale pre-trained models (PTMs) such as BERT and GPT have achieved great success in diverse fields. The typical paradigm is to pre-train a big deep learning model on large-scale data sets, and then fine-tune the model on small task-specific data sets for downstream tasks. Although PTMs have rapidly progressed with wide real-world applications, they also pose significant risks of potential attacks. Existing backdoor attacks or data poisoning methods often build up the assumption that the attacker invades the computers of victims or accesses the target data, which is challenging in real-world scenarios. In this paper, we propose a novel framework for an invisible attack on PTMs with enhanced MD5 collision. The key idea is to generate two equal-size models with the same MD5 checksum by leveraging the MD5 chosen-prefix collision. Afterwards, the two ``same" models will be deployed on public websites to induce victims to download the poisoned model. Unlike conventional attacks on deep learning models, this new attack is flexible, covert, and model-independent. Additionally, we propose a simple defensive strategy for recognizing the MD5 chosen-prefix collision and provide a theoretical justification for its feasibility. We extensively validate the effectiveness and stealthiness of our proposed attack and defensive method on different models and data sets.
• Abstract（参考訳）: BERT や GPT のような大規模事前訓練型モデル (PTM) は様々な分野で大きな成功を収めている。 典型的なパラダイムは、大規模なデータセットで大きなディープラーニングモデルを事前訓練し、下流タスクのために小さなタスク固有のデータセットでモデルを微調整することである。 PTMは、広範囲の現実世界のアプリケーションで急速に進歩しているが、潜在的な攻撃のリスクも生じている。 既存のバックドア攻撃やデータ中毒の手法は、攻撃者が被害者のコンピュータに侵入したり、ターゲットデータにアクセスしたりするという仮定を立証することが多い。 本稿では,MD5衝突を増強したPTMに対する目に見えない攻撃のための新しい枠組みを提案する。 鍵となるアイデアは、MD5選択前衝突を利用して、同じMD5チェックサムを持つ2つの等サイズモデルを生成することである。 その後、2つの‘same’モデルが公開ウェブサイトにデプロイされ、被害者に毒モデルをダウンロードするよう誘導する。 ディープラーニングモデルに対する従来の攻撃とは異なり、この新しい攻撃は柔軟で、隠蔽的で、モデルに依存しない。 さらに,MD5選択前衝突を認識するための簡単な防御戦略を提案し,その実現可能性について理論的に正当化する。 提案する攻撃法と防御法の有効性を,異なるモデルとデータセット上で広範囲に検証する。

関連論文リスト

• Privacy Backdoors: Enhancing Membership Inference through Poisoning Pre-trained Models [112.48136829374741]
  本稿では、プライバシーバックドア攻撃という新たな脆弱性を明らかにします。 被害者がバックドアモデルに微調整を行った場合、トレーニングデータは通常のモデルに微調整された場合よりも大幅に高い速度でリークされる。 我々の発見は、機械学習コミュニティにおける重要なプライバシー上の懸念を浮き彫りにし、オープンソースの事前訓練モデルの使用における安全性プロトコルの再評価を求めている。
  論文  参考訳（メタデータ） (2024-04-01T16:50:54Z)
• One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
  メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。 本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
  論文  参考訳（メタデータ） (2023-08-12T09:34:43Z)
• Ensemble-based Blackbox Attacks on Dense Prediction [16.267479602370543]
  慎重に設計されたアンサンブルは、多くの犠牲者モデルに対して効果的な攻撃を発生させることができることを示す。 特に,個々のモデルに対する重み付けの正規化が,攻撃の成功に重要な役割を担っていることを示す。 提案手法は同時に複数のブラックボックス検出とセグメンテーションモデルを騙すことができる単一摂動を生成することができる。
  論文  参考訳（メタデータ） (2023-03-25T00:08:03Z)
• Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
  我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。 非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。 提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
  論文  参考訳（メタデータ） (2020-12-04T11:10:03Z)
• Omni: Automated Ensemble with Unexpected Models against Adversarial Evasion Attack [35.0689225703137]
  機械学習に基づくセキュリティ検出モデルは、敵の回避攻撃の影響を受けやすい。 我々はオムニ(Omni)と呼ばれる手法を提案し、「予期せぬモデル」のアンサンブルを作成する方法を探る。 5種類の敵対的回避攻撃による研究において,オムニは防衛戦略として有望なアプローチであることを示す。
  論文  参考訳（メタデータ） (2020-11-23T20:02:40Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Learning to Attack: Towards Textual Adversarial Attacking in Real-world Situations [81.82518920087175]
  敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。 本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
  論文  参考訳（メタデータ） (2020-09-19T09:12:24Z)
• Improving Robustness to Model Inversion Attacks via Mutual Information Regularization [12.079281416410227]
  本稿では,モデル逆転攻撃に対する防御機構について検討する。 MIは、ターゲット機械学習モデルへのアクセスからトレーニングデータ配布に関する情報を推測することを目的とした、プライバシ攻撃の一種である。 我々はMI攻撃に対するMID(Multual Information Regularization based Defense)を提案する。
  論文  参考訳（メタデータ） (2020-09-11T06:02:44Z)
• Adversarial Imitation Attack [63.76805962712481]
  現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。 現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。 本研究では,新たな敵模倣攻撃を提案する。
  論文  参考訳（メタデータ） (2020-03-28T10:02:49Z)
• DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
  本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。 これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。 実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
  論文  参考訳（メタデータ） (2020-03-28T04:28:13Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。