Edge Deep Learning Model Protection via Neuron Authorization

要約

ディープ ラーニング プロセッサとアクセラレータの開発により、ディープ ラーニング モデルは IoT の一部としてエッジ デバイスに広く展開されています。
一般に、エッジ デバイス モデルは、慎重に保護する価値のある貴重な知的財産と見なされています。
残念ながら、これらのモデルは盗まれたり、違法にコピーされたりするリスクが非常に高くなります。
暗号化アルゴリズムを使用した既存のモデル保護は、エッジ デバイスの計算能力が限られているため、実用的ではない高い計算オーバーヘッドに悩まされています。
この作業では、EdgePro と呼ばれるニューロン レベルでの軽量で実用的で一般的なエッジ デバイス モデルの保護方法を提案します。
具体的には、いくつかのニューロンを承認ニューロンとして選択し、それらのアクティベーション値をロック値に設定し、トレーニング中にニューロン出力を「asswords」としてスケーリングします。
EdgePro は、モデル全体ではなく「パスワード」の情報を暗号化して保存することを犠牲にして、「パスワード」が満たされた場合にのみモデルが正しく機能するようにすることでモデルを保護します。
広範な実験結果は、EdgePro がさまざまなモードのデータセットを保護するタスクでうまく機能することを示しています。
EdgePro の推論時間の増加は、最先端の方法の 60% にすぎず、精度の低下は 1% 未満です。
さらに、EdgePro は、微調整やプルーニングなどの適応型攻撃に対して堅牢であるため、実際のアプリケーションでより実用的になります。
EdgePro は、将来の研究を容易にするためにオープン ソース化されています: https://github.com/Leon022/Edg

要約(オリジナル)

With the development of deep learning processors and accelerators, deep learning models have been widely deployed on edge devices as part of the Internet of Things. Edge device models are generally considered as valuable intellectual properties that are worth for careful protection. Unfortunately, these models have a great risk of being stolen or illegally copied. The existing model protections using encryption algorithms are suffered from high computation overhead which is not practical due to the limited computing capacity on edge devices. In this work, we propose a light-weight, practical, and general Edge device model Pro tection method at neuron level, denoted as EdgePro. Specifically, we select several neurons as authorization neurons and set their activation values to locking values and scale the neuron outputs as the ‘asswords’ during training. EdgePro protects the model by ensuring it can only work correctly when the ‘passwords’ are met, at the cost of encrypting and storing the information of the ‘passwords’ instead of the whole model. Extensive experimental results indicate that EdgePro can work well on the task of protecting on datasets with different modes. The inference time increase of EdgePro is only 60% of state-of-the-art methods, and the accuracy loss is less than 1%. Additionally, EdgePro is robust against adaptive attacks including fine-tuning and pruning, which makes it more practical in real-world applications. EdgePro is also open sourced to facilitate future research: https://github.com/Leon022/Edg

arxiv情報

提供元, 利用サービス

arxiv.jp, Google