要約
Sponge の例は、ハードウェア アクセラレータにデプロイされたときにニューラル ネットワークのエネルギー消費とレイテンシが増加するように慎重に最適化されたテスト時の入力です。
この作業では、スポンジ中毒と呼ばれる攻撃を介して、トレーニング時にスポンジの例を注射することもできることを初めて実証しました。
この攻撃により、テスト時の入力ごとに無差別に機械学習モデルのエネルギー消費とレイテンシーを増加させることができます。
スポンジ ポイズニングの新しい形式化を提示し、テスト時のスポンジの例の最適化に関連する制限を克服し、攻撃者が少数のモデルの更新のみを制御する場合でも、この攻撃が可能であることを示します。
たとえば、モデルのトレーニングが信頼できないサードパーティにアウトソーシングされている場合や、フェデレーション ラーニングを介して配布されている場合などです。
私たちの広範な実験的分析は、スポンジ中毒がハードウェア アクセラレータの効果をほぼ完全に消失させる可能性があることを示しています。
また、汚染されたモデルのアクティベーションを分析し、この攻撃に対してより脆弱なコンポーネントを特定します。
最後に、エネルギー消費を減らすためのスポンジ中毒に対する対策の実現可能性を調べ、ほとんどのユーザーにとって消毒方法が過度に高価である可能性があることを示します.
要約(オリジナル)
Sponge examples are test-time inputs carefully optimized to increase energy consumption and latency of neural networks when deployed on hardware accelerators. In this work, we are the first to demonstrate that sponge examples can also be injected at training time, via an attack that we call sponge poisoning. This attack allows one to increase the energy consumption and latency of machine-learning models indiscriminately on each test-time input. We present a novel formalization for sponge poisoning, overcoming the limitations related to the optimization of test-time sponge examples, and show that this attack is possible even if the attacker only controls a few model updates; for instance, if model training is outsourced to an untrusted third-party or distributed via federated learning. Our extensive experimental analysis shows that sponge poisoning can almost completely vanish the effect of hardware accelerators. We also analyze the activations of poisoned models, identifying which components are more vulnerable to this attack. Finally, we examine the feasibility of countermeasures against sponge poisoning to decrease energy consumption, showing that sanitization methods may be overly expensive for most of the users.
arxiv情報
著者 | Antonio Emanuele Cinà,Ambra Demontis,Battista Biggio,Fabio Roli,Marcello Pelillo |
発行日 | 2023-03-09 14:16:03+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google