論文の概要: Activation Functions Considered Harmful: Recovering Neural Network Weights through Controlled Channels

• arxiv url: http://arxiv.org/abs/2503.19142v1
• Date: Mon, 24 Mar 2025 20:55:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-26 16:50:05.937144
• Title: Activation Functions Considered Harmful: Recovering Neural Network Weights through Controlled Channels
• Title（参考訳）: ハームフルを考慮した活性化関数:制御チャネルを通してニューラルネットワークの重みを復元する
• Authors: Jesse Spielman, David Oswald, Mark Ryan, Jo Van Bulck,
• Abstract要約: ハードウェアを分離したエンクレーブ、特にIntel SGXの最近の進歩は、機械学習アプリケーションの内部状態をセキュアにするという約束を守っている。 本稿では,SGXエンクレーブから秘密の重みとバイアスを抽出するために,入力依存型メモリアクセスパターンを活用可能であることを示す。
• 参考スコア（独自算出の注目度）: 3.806947766399214
• License:
• Abstract: With high-stakes machine learning applications increasingly moving to untrusted end-user or cloud environments, safeguarding pre-trained model parameters becomes essential for protecting intellectual property and user privacy. Recent advancements in hardware-isolated enclaves, notably Intel SGX, hold the promise to secure the internal state of machine learning applications even against compromised operating systems. However, we show that privileged software adversaries can exploit input-dependent memory access patterns in common neural network activation functions to extract secret weights and biases from an SGX enclave. Our attack leverages the SGX-Step framework to obtain a noise-free, instruction-granular page-access trace. In a case study of an 11-input regression network using the Tensorflow Microlite library, we demonstrate complete recovery of all first-layer weights and biases, as well as partial recovery of parameters from deeper layers under specific conditions. Our novel attack technique requires only 20 queries per input per weight to obtain all first-layer weights and biases with an average absolute error of less than 1%, improving over prior model stealing attacks. Additionally, a broader ecosystem analysis reveals the widespread use of activation functions with input-dependent memory access patterns in popular machine learning frameworks (either directly or via underlying math libraries). Our findings highlight the limitations of deploying confidential models in SGX enclaves and emphasise the need for stricter side-channel validation of machine learning implementations, akin to the vetting efforts applied to secure cryptographic libraries.
• Abstract（参考訳）: 高度な機械学習アプリケーションがますます信頼できないエンドユーザやクラウド環境に移行するにつれて、事前訓練されたモデルパラメータの保護は、知的財産権とユーザのプライバシを保護する上で不可欠である。 ハードウェアを分離したエンクレーブ、特にIntel SGXの最近の進歩は、侵害されたオペレーティングシステムに対してさえも、機械学習アプリケーションの内部状態を確保することを約束している。 しかし,SGXエンクレーブから秘密の重みとバイアスを抽出するために,入力依存型メモリアクセスパターンをニューラルネットワークアクティベーション関数で利用することができることを示す。 我々の攻撃は、SGX-Stepフレームワークを利用して、ノイズフリーで命令粒度のページアクセストレースを得る。 テンソルフロー・マイクロライト・ライブラリーを用いた11入力回帰ネットワークのケーススタディでは,全第1層重みと偏りの完全な回復と,特定の条件下での深い層からのパラメータの部分的回復を実証する。 我々の新しい攻撃手法は、平均的な絶対誤差が1%未満の第一層重みとバイアスを全て得るのに、1重量あたりの入力に対して20クエリしか必要とせず、以前のモデル盗難攻撃よりも改善されている。 さらに、より広範なエコシステム分析により、一般的な機械学習フレームワーク(直接または基礎となる数学ライブラリ)における入力依存メモリアクセスパターンによるアクティベーション関数の広範な使用が明らかになった。 我々の発見は、SGXエンクレーブに機密モデルをデプロイすることの限界を強調し、セキュアな暗号化ライブラリに適用される検証作業に類似した、機械学習実装のより厳格なサイドチャネル検証の必要性を強調した。

関連論文リスト

• Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
  新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。 拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。 MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
  論文  参考訳（メタデータ） (2024-05-01T12:03:39Z)
• FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
  FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。 本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。 本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
  論文  参考訳（メタデータ） (2024-03-26T08:51:23Z)
• Hawk: Accurate and Fast Privacy-Preserving Machine Learning Using Secure Lookup Table Computation [11.265356632908846]
  直接的なデータ共有のない複数のエンティティからのデータに対する機械学習モデルのトレーニングは、ビジネス、法的、倫理的制約によって妨げられるようなアプリケーションをアンロックすることができる。 我々はロジスティック回帰モデルとニューラルネットワークモデルのための新しいプライバシ保護機械学習プロトコルの設計と実装を行う。 評価の結果,ロジスティック回帰プロトコルは最大9倍高速であり,ニューラルネットワークトレーニングはSecureMLの最大688倍高速であることがわかった。
  論文  参考訳（メタデータ） (2024-03-26T00:51:12Z)
• On-device Self-supervised Learning of Visual Perception Tasks aboard Hardware-limited Nano-quadrotors [53.59319391812798]
  SI50グラム以下のナノドロンは、学術と産業の両方で勢いを増している。 彼らの最も魅力的なアプリケーションは、知覚のためのディープラーニングモデルに依存している。 未知の環境にデプロイする場合、これらのモデルはドメインシフトによってパフォーマンスが低下することが多い。 本研究では,ナノドローンを用いたデバイス上での学習を初めて提案する。
  論文  参考訳（メタデータ） (2024-03-06T22:04:14Z)
• An anomaly detection approach for backdoored neural networks: face recognition as a case study [77.92020418343022]
  本稿では,異常検出の原理に基づく新しいバックドアネットワーク検出手法を提案する。 バックドアネットワークの新たなデータセット上で本手法を検証し,完全スコアで検出可能性について報告する。
  論文  参考訳（メタデータ） (2022-08-22T12:14:13Z)
• On the Evaluation of User Privacy in Deep Neural Networks using Timing Side Channel [14.350301915592027]
  我々は,Deep Learning (DL) の実装において,新たなデータ依存型タイミング側チャネルリーク(クラスリーク)を特定し,報告する。 ユーザ特権とハードラベルのブラックボックスアクセスを持つ敵が、クラスリークを悪用できる、実用的な推論時攻撃を実証する。 我々は,クラスリークを緩和する定時分岐操作を行うことにより,実装が容易な対策を開発する。
  論文  参考訳（メタデータ） (2022-08-01T19:38:16Z)
• DeepPayload: Black-box Backdoor Attack on Deep Learning Models through Neural Payload Injection [17.136757440204722]
  我々は,コンパイルされたディープラーニングモデルに対して,リバースエンジニアリング技術を用いて,極めて実用的なバックドアアタックを導入する。 注入されたバックドアは93.5%の成功率で起動できるが、遅延オーバーヘッドは2ms以下で精度は1.4%以下である。 人気アプリやセキュリティクリティカルアプリなど、攻撃に対して脆弱な54のアプリが見つかりました。
  論文  参考訳（メタデータ） (2021-01-18T06:29:30Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Dynamic Backdoor Attacks Against Machine Learning Models [28.799895653866788]
  本研究では,DNN(Random Backdoor,Backdoor Generating Network,BaN)および条件付きBackdoor Generating Network(c-BaN)に対する動的バックドア技術の最初のクラスを提案する。 新たな生成ネットワークに基づくBaNとc-BaNは、アルゴリズムによってトリガを生成する最初の2つのスキームである。 本手法は, バックドアデータに対するほぼ完璧な攻撃性能を実現し, 実用性に欠ける損失を生じさせる。
  論文  参考訳（メタデータ） (2020-03-07T22:46:51Z)
• Automatic Perturbation Analysis for Scalable Certified Robustness and Beyond [171.07853346630057]
  ニューラルネットワークに対する線形緩和に基づく摂動解析(LiRPA)は、堅牢性検証と認証防御のコアコンポーネントとなっている。 我々は任意のニューラルネットワーク構造上で摂動解析を可能にするための自動フレームワークを開発する。 我々は、Tiny ImageNetとDownscaled ImageNetのLiRPAベースの認証防御を実証する。
  論文  参考訳（メタデータ） (2020-02-28T18:47:43Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。