論文の概要: No Privacy Left Outside: On the (In-)Security of TEE-Shielded DNN
Partition for On-Device ML
- arxiv url: http://arxiv.org/abs/2310.07152v1
- Date: Wed, 11 Oct 2023 02:54:52 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-13 00:35:06.677793
- Title: No Privacy Left Outside: On the (In-)Security of TEE-Shielded DNN
Partition for On-Device ML
- Title(参考訳): プライバシは残っていない: オンデバイスMLのためのTEEシールド付きDNNのセキュア性
- Authors: Ziqi Zhang, Chen Gong, Yifeng Cai, Yuanyuan Yuan, Bingyan Liu, Ding
Li, Yao Guo, Xiangqun Chen
- Abstract要約: 既存のTSDPソリューションは、プライバシスティーリング攻撃に対して脆弱であり、一般的に信じられているほど安全ではないことを示す。
DNN推論中にMSとMIAを防御する新しいTSDP法TEESliceを提案する。
- 参考スコア(独自算出の注目度): 28.392497220631032
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: On-device ML introduces new security challenges: DNN models become white-box
accessible to device users. Based on white-box information, adversaries can
conduct effective model stealing (MS) and membership inference attack (MIA).
Using Trusted Execution Environments (TEEs) to shield on-device DNN models aims
to downgrade (easy) white-box attacks to (harder) black-box attacks. However,
one major shortcoming is the sharply increased latency (up to 50X). To
accelerate TEE-shield DNN computation with GPUs, researchers proposed several
model partition techniques. These solutions, referred to as TEE-Shielded DNN
Partition (TSDP), partition a DNN model into two parts, offloading the
privacy-insensitive part to the GPU while shielding the privacy-sensitive part
within the TEE. This paper benchmarks existing TSDP solutions using both MS and
MIA across a variety of DNN models, datasets, and metrics. We show important
findings that existing TSDP solutions are vulnerable to privacy-stealing
attacks and are not as safe as commonly believed. We also unveil the inherent
difficulty in deciding optimal DNN partition configurations (i.e., the highest
security with minimal utility cost) for present TSDP solutions. The experiments
show that such ``sweet spot'' configurations vary across datasets and models.
Based on lessons harvested from the experiments, we present TEESlice, a novel
TSDP method that defends against MS and MIA during DNN inference. TEESlice
follows a partition-before-training strategy, which allows for accurate
separation between privacy-related weights from public weights. TEESlice
delivers the same security protection as shielding the entire DNN model inside
TEE (the ``upper-bound'' security guarantees) with over 10X less overhead (in
both experimental and real-world environments) than prior TSDP solutions and no
accuracy loss.
- Abstract(参考訳): オンデバイスmlでは、新たなセキュリティ上の課題が導入されている。
ホワイトボックス情報に基づいて、敵は効果的なモデル盗難(MS)とメンバーシップ推論攻撃(MIA)を行うことができる。
デバイス上のDNNモデルを保護するためにTrusted Execution Environments(TEEs)を使用することで、ホワイトボックス攻撃を(より簡単な)ブラックボックス攻撃にダウングレードすることを目指している。
しかし、大きな欠点の1つは、レイテンシの急激な増加(最大50倍)である。
GPUによるTEEシールドDNN計算を高速化するため、研究者はいくつかのモデル分割手法を提案した。
これらのソリューションは、TEE-Shielded DNN Partition (TSDP)と呼ばれ、DNNモデルを2つの部分に分割し、TEE内のプライバシーに敏感な部分を保護しながら、プライバシに敏感な部分をGPUにオフロードする。
本稿では、MSとMIAの両方を用いて既存のTSDPソリューションを様々なDNNモデル、データセット、メトリクスでベンチマークする。
我々は,既存のtsdpソリューションがプライバシ保護攻撃に対して脆弱であり,一般的に信じられているほど安全ではないことを示す。
また、現在のTSDPソリューションに対して最適なDNNパーティション構成(すなわち、最小限のユーティリティコストを持つ最高セキュリティ)を決定することの難しさを明らかにします。
実験によると、このような‘sweet spot’の設定はデータセットやモデルによって異なる。
実験から得られた教訓に基づいて,DNN推論中にMSとMIAを防御する新しいTSDP法TEESliceを提案する。
teesliceは分割前トレーニング戦略に従い、プライバシー関連の重みと公共の重みの正確な分離を可能にする。
TEESliceは、TEE内のDNNモデル全体(‘upper-bound’のセキュリティ保証)を、以前のTSDPソリューションよりも10倍以上のオーバーヘッド(実験環境と実環境環境で)で保護するのと同じセキュリティ保護を提供する。
関連論文リスト
- Memory-Efficient and Secure DNN Inference on TrustZone-enabled Consumer IoT Devices [9.928745904761358]
エッジインテリジェンスにより、元のデータを転送することなく、リソース要求のDeep Neural Network(DNN)推論が可能になる。
プライバシに敏感なアプリケーションでは、ハードウェアアイソレーションされた信頼できる実行環境(TEE)にモデルをデプロイすることが不可欠である。
我々は,モデル推論における包括的プライバシ保護を保証するため,TrustZoneにおける高度なモデル展開のための新しいアプローチを提案する。
論文 参考訳(メタデータ) (2024-03-19T09:22:50Z) - DNNShield: Embedding Identifiers for Deep Neural Network Ownership Verification [46.47446944218544]
本稿では、ディープニューラルネットワーク(DNN)の保護のための新しいアプローチであるDNNShieldを紹介する。
DNNShieldは、特別な保護レイヤを使用して、モデルアーキテクチャにユニークな識別子を埋め込む。
3つのデータセットと4つのモデルアーキテクチャにわたる広範囲な評価を通じて、DNNShieldの有効性と効率を検証した。
論文 参考訳(メタデータ) (2024-03-11T10:27:36Z) - MatchNAS: Optimizing Edge AI in Sparse-Label Data Contexts via
Automating Deep Neural Network Porting for Mobile Deployment [54.77943671991863]
MatchNASはDeep Neural Networksをモバイルデバイスに移植するための新しいスキームである。
ラベル付きデータと非ラベル付きデータの両方を用いて、大規模なネットワークファミリを最適化する。
そして、さまざまなハードウェアプラットフォーム用に調整されたネットワークを自動的に検索する。
論文 参考訳(メタデータ) (2024-02-21T04:43:12Z) - Scaling #DNN-Verification Tools with Efficient Bound Propagation and
Parallel Computing [57.49021927832259]
ディープニューラルネットワーク(DNN)は多くのシナリオで異常な結果を示した強力なツールです。
しかし、それらの複雑な設計と透明性の欠如は、現実世界のアプリケーションに適用する際の安全性上の懸念を提起する。
DNNの形式的検証(FV)は、安全面の証明可能な保証を提供する貴重なソリューションとして登場した。
論文 参考訳(メタデータ) (2023-12-10T13:51:25Z) - MirrorNet: A TEE-Friendly Framework for Secure On-device DNN Inference [14.08010398777227]
ディープニューラルネットワーク(DNN)モデルは、リアルタイム推論のためのエッジデバイスで普及している。
既存の防御アプローチでは、モデルの機密性を完全に保護できないか、あるいは重大なレイテンシの問題が発生する。
本稿では、モデル機密性を保護するため、任意のDNNモデルに対してTEEフレンドリーな実装を生成するMirrorNetを提案する。
評価のために、MirrorNetは認証と違法使用の間に18.6%の精度差を達成でき、ハードウェアオーバーヘッドは0.99%に過ぎなかった。
論文 参考訳(メタデータ) (2023-11-16T01:21:19Z) - Enumerating Safe Regions in Deep Neural Networks with Provable
Probabilistic Guarantees [86.1362094580439]
安全プロパティとDNNが与えられた場合、安全であるプロパティ入力領域のすべての領域の集合を列挙する。
この問題の #P-hardness のため,epsilon-ProVe と呼ばれる効率的な近似法を提案する。
提案手法は, 許容限界の統計的予測により得られた出力可到達集合の制御可能な過小評価を利用する。
論文 参考訳(メタデータ) (2023-08-18T22:30:35Z) - The #DNN-Verification Problem: Counting Unsafe Inputs for Deep Neural
Networks [94.63547069706459]
#DNN-Verification問題は、DNNの入力構成の数を数えることによって安全性に反する結果となる。
違反の正確な数を返す新しい手法を提案する。
安全クリティカルなベンチマークのセットに関する実験結果を示す。
論文 参考訳(メタデータ) (2023-01-17T18:32:01Z) - Robust and Lossless Fingerprinting of Deep Neural Networks via Pooled
Membership Inference [17.881686153284267]
ディープニューラルネットワーク(DNN)は、すでに多くのアプリケーション分野で大きな成功を収めており、私たちの社会に大きな変化をもたらしています。
DNNの知的財産権(IP)を侵害から保護する方法は、最も重要かつ非常に困難なトピックの1つである。
本稿では,DNNモデルのIPを保護するために,Emphpooled Memberation Inference (PMI) と呼ばれる新しい手法を提案する。
論文 参考訳(メタデータ) (2022-09-09T04:06:29Z) - RL-DistPrivacy: Privacy-Aware Distributed Deep Inference for low latency
IoT systems [41.1371349978643]
本稿では,流通戦略の再考を通じて協調的深層推論の安全性を目標とするアプローチを提案する。
我々は、この手法を最適化として定式化し、コ推論のレイテンシとプライバシーレベルのデータのトレードオフを確立する。
論文 参考訳(メタデータ) (2022-08-27T14:50:00Z) - Deep Serial Number: Computational Watermarking for DNN Intellectual
Property Protection [53.40245698216239]
DSN(Deep Serial Number)はディープニューラルネットワーク(DNN)に特化した透かしアルゴリズムである。
従来のソフトウェアIPの保護においてシリアル番号に着想を得て,DNNに埋め込まれたシリアル番号の最初の実装を提案する。
論文 参考訳(メタデータ) (2020-11-17T21:42:40Z) - DarkneTZ: Towards Model Privacy at the Edge using Trusted Execution
Environments [37.84943219784536]
我々は、エッジデバイスのTrusted Execution Environment(TEE)を使用して、ディープニューラルネットワーク(DNN)に対する攻撃面を制限するフレームワークであるDarkneTZを紹介する。
我々は、CPU実行時間、メモリ使用量、正確な消費電力を含むDarkneTZの性能を評価する。
結果から,単一のレイヤが隠されている場合でも,信頼性の高いモデルプライバシを提供し,技術MIAの状態を防御することが可能になる。
論文 参考訳(メタデータ) (2020-04-12T21:42:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。