論文の概要: Polynomial Time Cryptanalytic Extraction of Deep Neural Networks in the Hard-Label Setting
- arxiv url: http://arxiv.org/abs/2410.05750v1
- Date: Tue, 8 Oct 2024 07:27:55 GMT
- ステータス: 処理完了
- システム内更新日: 2024-11-01 13:09:48.730554
- Title: Polynomial Time Cryptanalytic Extraction of Deep Neural Networks in the Hard-Label Setting
- Title(参考訳): ハードラベル設定における深部ニューラルネットワークのポリノミアル時間クリプトアナリシス抽出
- Authors: Nicholas Carlini, Jorge Chávez-Saab, Anna Hambitzer, Francisco Rodríguez-Henríquez, Adi Shamir,
- Abstract要約: ディープニューラルネットワーク(DNN)は貴重な資産だが、その公開アクセシビリティはセキュリティ上の懸念を引き起こす。
本稿では,DNNパラメータの暗号的抽出を,最も難しいハードラベル設定で初めて行う手法を紹介する。
- 参考スコア(独自算出の注目度): 45.68094593114181
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Deep neural networks (DNNs) are valuable assets, yet their public accessibility raises security concerns about parameter extraction by malicious actors. Recent work by Carlini et al. (crypto'20) and Canales-Mart\'inez et al. (eurocrypt'24) has drawn parallels between this issue and block cipher key extraction via chosen plaintext attacks. Leveraging differential cryptanalysis, they demonstrated that all the weights and biases of black-box ReLU-based DNNs could be inferred using a polynomial number of queries and computational time. However, their attacks relied on the availability of the exact numeric value of output logits, which allowed the calculation of their derivatives. To overcome this limitation, Chen et al. (asiacrypt'24) tackled the more realistic hard-label scenario, where only the final classification label (e.g., "dog" or "car") is accessible to the attacker. They proposed an extraction method requiring a polynomial number of queries but an exponential execution time. In addition, their approach was applicable only to a restricted set of architectures, could deal only with binary classifiers, and was demonstrated only on tiny neural networks with up to four neurons split among up to two hidden layers. This paper introduces new techniques that, for the first time, achieve cryptanalytic extraction of DNN parameters in the most challenging hard-label setting, using both a polynomial number of queries and polynomial time. We validate our approach by extracting nearly one million parameters from a DNN trained on the CIFAR-10 dataset, comprising 832 neurons in four hidden layers. Our results reveal the surprising fact that all the weights of a ReLU-based DNN can be efficiently determined by analyzing only the geometric shape of its decision boundaries.
- Abstract(参考訳): ディープニューラルネットワーク(DNN)は貴重な資産だが、その公開アクセシビリティは悪意のあるアクターによるパラメータ抽出に関するセキュリティ上の懸念を引き起こす。
Carlini et al (crypto'20) と Canales-Mart\'inez et al (eurocrypt'24) による最近の研究は、この問題と、選択された平文攻撃による暗号鍵抽出のブロックとを並列にしている。
差分暗号解析を利用して、ブラックボックスのReLUベースのDNNの重みと偏りを多項式数と計算時間を用いて推論できることを実証した。
しかし、それらの攻撃は出力ロジットの正確な数値が利用できることに依存しており、それによって微分の計算が可能になった。
この制限を克服するため、Chenら(asiacrypt'24)はより現実的なハードラベルのシナリオに取り組み、最終分類ラベル("dog"や"car"など)だけが攻撃者にアクセスできるようになった。
彼らは、多項式数のクエリを必要とするが指数的な実行時間を必要とする抽出法を提案した。
さらに、彼らのアプローチは制限されたアーキテクチャのみに適用でき、バイナリ分類器のみを扱うことができ、最大4つのニューロンが最大2つの隠れた層に分割された小さなニューラルネットワークでのみ実証された。
本稿では,DNNパラメータの暗号的抽出を,多項式数と多項式時間の両方を用いて,最も難しいハードラベル設定で実現した新しい手法を提案する。
我々は、CIFAR-10データセットで訓練されたDNNから、約100万のパラメータを抽出して、アプローチを検証する。
その結果、ReLUベースのDNNの全ての重みが、その決定境界の幾何学的形状のみを解析することによって効率的に決定できるという驚くべき事実が明らかになった。
関連論文リスト
- Reduction from sparse LPN to LPN, Dual Attack 3.0 [1.9106435311144374]
全く異なるアプローチに依存する RLPN-decoding と呼ばれる新しいアルゴリズムが導入された。
コードレートが 0.42 より小さい場合、ISD と RLPN を著しく上回っている。
このアルゴリズムは、格子ベースの暗号における最近の二重攻撃の従兄弟であるコードベース暗号と見なすことができる。
論文 参考訳(メタデータ) (2023-12-01T17:35:29Z) - Mitigating Backdoors within Deep Neural Networks in Data-limited
Configuration [1.1663475941322277]
バックドアされたディープニューラルネットワークは、テスト時にサンプルにトリガーが注入されたときに悪意を持って振る舞いながら、クリーンなデータに正常な振る舞いを示す。
本稿では, 有毒ニューロンの特性を定式化する。
このバックドア不確実性スコアは、ネットワークニューロンの活性化値、重み、および同一層の他のニューロンとの関係に応じてランク付けすることができる。
論文 参考訳(メタデータ) (2023-11-13T15:54:27Z) - Polynomial Time Cryptanalytic Extraction of Neural Network Models [3.3466632238361393]
ReLUベースのディープニューラルネットワークに対する最新の攻撃は、Crypto 2020で発表された。
新しい手法により、ReLUベースのニューラルネットワークの実際のパラメータをすべて任意に高精度に抽出できる。
論文 参考訳(メタデータ) (2023-10-12T20:44:41Z) - The #DNN-Verification Problem: Counting Unsafe Inputs for Deep Neural
Networks [94.63547069706459]
#DNN-Verification問題は、DNNの入力構成の数を数えることによって安全性に反する結果となる。
違反の正確な数を返す新しい手法を提案する。
安全クリティカルなベンチマークのセットに関する実験結果を示す。
論文 参考訳(メタデータ) (2023-01-17T18:32:01Z) - Zonotope Domains for Lagrangian Neural Network Verification [102.13346781220383]
我々は、ディープニューラルネットワークを多くの2層ニューラルネットワークの検証に分解する。
我々の手法は線形プログラミングとラグランジアンに基づく検証技術の両方により改善された境界を与える。
論文 参考訳(メタデータ) (2022-10-14T19:31:39Z) - Efficient Decompositional Rule Extraction for Deep Neural Networks [5.69361786082969]
ECLAIREは、大規模なDNNアーキテクチャと大規模なトレーニングデータセットの両方にスケール可能な、新しい時間ルール抽出アルゴリズムである。
ECLAIREは、現在の最先端手法よりも正確で理解しやすいルールセットを一貫して抽出することを示す。
論文 参考訳(メタデータ) (2021-11-24T16:54:10Z) - Efficiently Learning Any One Hidden Layer ReLU Network From Queries [27.428198343906352]
ネットワークへのブラックボックスアクセスを提供するニューラルネットワークアクティベーションを任意の1つの隠蔽層で学習するアルゴリズムを初めて提供する。
最悪のネットワークであっても、完全時間で効率を保証できるのはこれが初めてです。
論文 参考訳(メタデータ) (2021-11-08T18:59:40Z) - Online Limited Memory Neural-Linear Bandits with Likelihood Matching [53.18698496031658]
本研究では,探索学習と表現学習の両方が重要な役割を果たす課題を解決するために,ニューラルネットワークの帯域について検討する。
破滅的な忘れ込みに対して耐性があり、完全にオンラインである可能性の高いマッチングアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-02-07T14:19:07Z) - Boosting Deep Neural Networks with Geometrical Prior Knowledge: A Survey [77.99182201815763]
ディープニューラルネットワーク(DNN)は多くの異なる問題設定において最先端の結果を達成する。
DNNはしばしばブラックボックスシステムとして扱われ、評価と検証が複雑になる。
コンピュータビジョンタスクにおける畳み込みニューラルネットワーク(CNN)の成功に触発された、有望な分野のひとつは、対称幾何学的変換に関する知識を取り入れることである。
論文 参考訳(メタデータ) (2020-06-30T14:56:05Z) - ESPN: Extremely Sparse Pruned Networks [50.436905934791035]
簡単な反復マスク探索法により,非常に深いネットワークの最先端の圧縮を実現することができることを示す。
本アルゴリズムは,シングルショット・ネットワーク・プルーニング法とロッテ・ティケット方式のハイブリッド・アプローチを示す。
論文 参考訳(メタデータ) (2020-06-28T23:09:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。