論文の概要: Investigating White-Box Attacks for On-Device Models

• arxiv url: http://arxiv.org/abs/2402.05493v3
• Date: Mon, 26 Feb 2024 04:49:53 GMT
• ステータス: 処理完了
• システム内更新日: 2024-02-27 18:28:06.677263
• Title: Investigating White-Box Attacks for On-Device Models
• Title（参考訳）: オンデバイスモデルのホワイトボックス攻撃の調査
• Authors: Mingyi Zhou, Xiang Gao, Jing Wu, Kui Liu, Hailong Sun, Li Li
• Abstract要約: オンデバイスモデルは、対応するモバイルアプリから簡単に抽出できるため、攻撃に対して脆弱である。 本稿では,デバイス上でのTFLiteモデルをデバッギング可能なモデルに自動的に変換する,デバイス上でのReverse Engineering framework for On-Device Models (REOM)を提案する。 以上の結果から,REOMは攻撃者の攻撃成功率を100倍に抑えることができることがわかった。
• 参考スコア（独自算出の注目度）: 21.329209501209665
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Numerous mobile apps have leveraged deep learning capabilities. However, on-device models are vulnerable to attacks as they can be easily extracted from their corresponding mobile apps. Existing on-device attacking approaches only generate black-box attacks, which are far less effective and efficient than white-box strategies. This is because mobile deep learning frameworks like TFLite do not support gradient computing, which is necessary for white-box attacking algorithms. Thus, we argue that existing findings may underestimate the harmfulness of on-device attacks. To this end, we conduct a study to answer this research question: Can on-device models be directly attacked via white-box strategies? We first systematically analyze the difficulties of transforming the on-device model to its debuggable version, and propose a Reverse Engineering framework for On-device Models (REOM), which automatically reverses the compiled on-device TFLite model to the debuggable model. Specifically, REOM first transforms compiled on-device models into Open Neural Network Exchange format, then removes the non-debuggable parts, and converts them to the debuggable DL models format that allows attackers to exploit in a white-box setting. Our experimental results show that our approach is effective in achieving automated transformation among 244 TFLite models. Compared with previous attacks using surrogate models, REOM enables attackers to achieve higher attack success rates with a hundred times smaller attack perturbations. In addition, because the ONNX platform has plenty of tools for model format exchanging, the proposed method based on the ONNX platform can be adapted to other model formats. Our findings emphasize the need for developers to carefully consider their model deployment strategies, and use white-box methods to evaluate the vulnerability of on-device models.
• Abstract（参考訳）: 多くのモバイルアプリがディープラーニング機能を活用している。 しかし、オンデバイスモデルは、対応するモバイルアプリから簡単に抽出できるため、攻撃に対して脆弱である。 既存のデバイス上の攻撃アプローチではブラックボックス攻撃しか発生せず、ホワイトボックス戦略よりも効率的で効率的である。 これは、TFLiteのようなモバイルディープラーニングフレームワークが、ホワイトボックス攻撃アルゴリズムに必要な勾配コンピューティングをサポートしていないためである。 そこで本研究では,デバイス上での攻撃の危険性を過小評価している。 デバイス上のモデルは、ホワイトボックス戦略によって直接攻撃できるだろうか? まず,オンデバイスモデルからデバッグ可能なバージョンへの変換の難しさを体系的に解析し,コンパイルされたオンデバイスtfliteモデルをデバッグ可能なモデルに自動変換するオンデバイスモデル(reom)のためのリバースエンジニアリングフレームワークを提案する。 具体的には、reomはまずコンパイルされたオンデバイスモデルからopen neural network exchangeフォーマットに変換し、次に削除できない部分を削除してデバッグ可能なdlモデルフォーマットに変換し、攻撃者がホワイトボックス設定を悪用できるようにする。 実験の結果,提案手法は244TFLiteモデル間の自動変換を実現するのに有効であることがわかった。 代理モデルを使った以前の攻撃と比較すると、REOMは攻撃者の攻撃成功率を100倍に抑えることができる。 さらに,ONNXプラットフォームにはモデルフォーマット交換のためのツールが豊富にあるため,ONNXプラットフォームに基づく提案手法は他のモデルフォーマットにも適用可能である。 我々の研究は、開発者がモデルデプロイメント戦略を慎重に検討し、デバイス上のモデルの脆弱性を評価するためにホワイトボックスメソッドを使うことを強調した。

関連論文リスト

• A Realistic Threat Model for Large Language Model Jailbreaks [87.64278063236847]
  本研究では,ジェイルブレイク攻撃の原理的比較のための統一的脅威モデルを提案する。 私たちの脅威モデルは、パープレキシティの制約を組み合わせることで、ジェイルブレイクが自然のテキストからどれだけ逸脱するかを測定します。 我々は、この新しい現実的な脅威モデルに人気のある攻撃を適用する。
  論文  参考訳（メタデータ） (2024-10-21T17:27:01Z)
• DynaMO: Protecting Mobile DL Models through Coupling Obfuscated DL Operators [29.82616462226066]
  攻撃者は、アプリ内のモバイルDLモデルを簡単にリバースエンジニアリングして知的財産を盗んだり、効果的な攻撃を発生させることができる。 モデル難読化はそのようなリバースエンジニアリングを防御するために提案されている。 我々は,同型暗号化に類似した動的モデル難読化戦略であるDynaMOを提案する。
  論文  参考訳（メタデータ） (2024-10-19T08:30:08Z)
• Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
  本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。 GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。 その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
  論文  参考訳（メタデータ） (2023-10-25T03:30:42Z)
• ModelObfuscator: Obfuscating Model Information to Protect Deployed ML-based Systems [31.988501084337678]
  デバイス上でのTFLiteモデルを自動的に難読化するためのプロトタイプツールModelObfuscatorを開発した。 実験の結果,提案手法はモデルセキュリティを劇的に向上させることができることがわかった。
  論文  参考訳（メタデータ） (2023-06-01T05:24:00Z)
• Query Efficient Cross-Dataset Transferable Black-Box Attack on Action Recognition [99.29804193431823]
  ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。 本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。 提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
  論文  参考訳（メタデータ） (2022-11-23T17:47:49Z)
• Scoring Black-Box Models for Adversarial Robustness [4.416484585765028]
  敵の攻撃に対する モデルの堅牢性が分析されました 逆入力に対する頑健性を示すブラックボックスモデルの簡易スコアリング法を提案する。
  論文  参考訳（メタデータ） (2022-10-31T08:41:44Z)
• Smart App Attack: Hacking Deep Learning Models in Android Apps [16.663345577900813]
  デバイス上のモデルをハックするために、グレーボックスの逆攻撃フレームワークを導入する。 攻撃の有効性と汎用性を4つの異なる設定で評価する。 転送学習を採用した53のアプリのうち、71.7%が攻撃に成功している。
  論文  参考訳（メタデータ） (2022-04-23T14:01:59Z)
• How to Robustify Black-Box ML Models? A Zeroth-Order Optimization Perspective [74.47093382436823]
  入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法? 我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。 我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
  論文  参考訳（メタデータ） (2022-03-27T03:23:32Z)
• Query Efficient Decision Based Sparse Attacks Against Black-Box Deep Learning Models [9.93052896330371]
  本研究では,進化型アルゴリズムであるSparseEvoを開発し,畳み込み型深層ニューラルネットワークと視覚変換器の両方に対して評価する。 SparseEvoは、未ターゲットとターゲットの両方の攻撃に対して、最先端のスパース攻撃よりもはるかに少ないモデルクエリを必要とする。 重要なことは、クエリ効率のよいSparseEvoと意思決定ベースの攻撃は、一般的に、デプロイされたシステムの安全性に関する新しい疑問を提起する。
  論文  参考訳（メタデータ） (2022-01-31T21:10:47Z)
• Meta Gradient Adversarial Attack [64.5070788261061]
  本稿では,MGAA(Metaversa Gradient Adrial Attack)と呼ばれる新しいアーキテクチャを提案する。 具体的には、モデル動物園から複数のモデルをランダムにサンプリングし、異なるタスクを構成するとともに、各タスクにおけるホワイトボックス攻撃とブラックボックス攻撃を反復的にシミュレートする。 ブラックボックス攻撃における勾配方向とブラックボックス攻撃の差を狭めることにより、ブラックボックス設定における逆例の転送性を向上させることができる。
  論文  参考訳（メタデータ） (2021-08-09T17:44:19Z)
• Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution [83.02632136860976]
  深層ニューラルネットワーク(DNN)に対するブラックボックス攻撃の研究 我々は, 代理バイアスに対して頑健な, 対向移動可能性の新たなメカニズムを開発する。 ベンチマークデータセットの実験と実世界のAPIに対する攻撃は、提案手法の優れた攻撃性能を示す。
  論文  参考訳（メタデータ） (2020-06-15T16:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。