Sardino: Ultra-Fast Dynamic Ensemble for Secure Visual Sensing at Mobile Edge

要約

敵対的な例の攻撃は、車両やドローンなど、視覚センシングにディープ ニューラル ネットワークを採用するモバイル エッジ システムを危険にさらします。
この論文では、{\em Sardino} を提示します。これは、実行時に推論アンサンブルを更新して、アンサンブルから侵入し、対応する効果的な敵対者の例を構築しようとする適応型敵対者に対するセキュリティを開発する、アクティブで動的な防御アプローチです。
アンサンブルの予測に一貫性チェックとデータ融合を適用することで、Sardino は敵対的な入力を検出して阻止することができます。
トレーニング ベースのアンサンブル更新と比較して、HyperNet を使用して {\em 100 万回} の高速化とフレームごとのアンサンブル更新を実現します。
処理フレーム レートを維持しながら、セキュリティを優先してアンサンブル サイズを最大化するランタイム プランナーを設計します。
敵対的な例を超えて、Sardino は分布外の入力の問題にも効果的に対処できます。
このホワイト ペーパーでは、敵対的な例に対処する際の Sardino のパフォーマンスの広範な評価を提示し、それを適用して、リアルタイムの自動車搭載交通標識認識システムを構築します。
ライブのオンロード テストでは、構築されたシステムがフレーム レートを維持し、先行する YOLO ベースの交通標識検出器の誤検出による分布外の入力を検出する有効性を示しています。

要約(オリジナル)

Adversarial example attack endangers the mobile edge systems such as vehicles and drones that adopt deep neural networks for visual sensing. This paper presents {\em Sardino}, an active and dynamic defense approach that renews the inference ensemble at run time to develop security against the adaptive adversary who tries to exfiltrate the ensemble and construct the corresponding effective adversarial examples. By applying consistency check and data fusion on the ensemble’s predictions, Sardino can detect and thwart adversarial inputs. Compared with the training-based ensemble renewal, we use HyperNet to achieve {\em one million times} acceleration and per-frame ensemble renewal that presents the highest level of difficulty to the prerequisite exfiltration attacks. We design a run-time planner that maximizes the ensemble size in favor of security while maintaining the processing frame rate. Beyond adversarial examples, Sardino can also address the issue of out-of-distribution inputs effectively. This paper presents extensive evaluation of Sardino’s performance in counteracting adversarial examples and applies it to build a real-time car-borne traffic sign recognition system. Live on-road tests show the built system’s effectiveness in maintaining frame rate and detecting out-of-distribution inputs due to the false positives of a preceding YOLO-based traffic sign detector.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google