要約
タイトル:GPU実行プロファイルからの形状蒸留によるDNNモデル抽出攻撃の改善
要約:
– DNN(Deep Neural Networks)は予測や分類の問題に対して高い性能を発揮するため、広く使用されています。
– しかし、その使用が拡大するにつれて、知的財産、データプライバシー、セキュリティなどが危険にさらされる様々な脅威があります。
– モデル抽出攻撃は、DNNを盗むことで知的財産、データプライバシー、セキュリティを危険にさらします。
– これらのリスクを悪化させるため、これまでの研究では、システムレベルのサイドチャネルを使用して、被害者DNNのアーキテクチャを漏洩させることができると示されてきました。
– 本論文では、様々な脅威モデルに対応する2つのDNNアーキテクチャ抽出技術を提案しています。
– 1つ目の技術は、被害者DNNのアーキテクチャをPyTorchプロファイラを通じて公開するために、悪意のある動的にリンクされたPyTorchのバージョンを使用するものです。
– 2つ目の技術は、EZCloneと呼ばれ、単純なアプローチを採用し、以前の研究に比べて敵対的な能力が低いと仮定して、集計(時系列ではない)GPUプロファイルをサイドチャネルとして利用してDNNアーキテクチャを予測します。
– EZCloneを使用して、攻撃の複雑さを最小限に抑えた場合、刈り取られたモデルに適用した場合、複数のGPUに適用した場合の効果を調べました。
– 結果として、EZCloneはPyTorchビジョンアーキテクチャの全セットに対して、100%の正確さでDNNアーキテクチャを正しく予測します。
– これまでのどの研究も、同じ敵対的制約または集計サイドチャネル情報を使用して、この程度のアーキテクチャ予測精度を示したことはありません。
– 以前の研究は、DNNが正常にクローンされた後、モデル回避やモデル反転などの追加攻撃が著しく加速されることを示しています。
要約(オリジナル)
Deep Neural Networks (DNNs) have become ubiquitous due to their performance on prediction and classification problems. However, they face a variety of threats as their usage spreads. Model extraction attacks, which steal DNNs, endanger intellectual property, data privacy, and security. Previous research has shown that system-level side-channels can be used to leak the architecture of a victim DNN, exacerbating these risks. We propose two DNN architecture extraction techniques catering to various threat models. The first technique uses a malicious, dynamically linked version of PyTorch to expose a victim DNN architecture through the PyTorch profiler. The second, called EZClone, exploits aggregate (rather than time-series) GPU profiles as a side-channel to predict DNN architecture, employing a simple approach and assuming little adversary capability as compared to previous work. We investigate the effectiveness of EZClone when minimizing the complexity of the attack, when applied to pruned models, and when applied across GPUs. We find that EZClone correctly predicts DNN architectures for the entire set of PyTorch vision architectures with 100% accuracy. No other work has shown this degree of architecture prediction accuracy with the same adversarial constraints or using aggregate side-channel information. Prior work has shown that, once a DNN has been successfully cloned, further attacks such as model evasion or model inversion can be accelerated significantly.
arxiv情報
著者 | Jonah O’Brien Weiss,Tiago Alves,Sandip Kundu |
発行日 | 2023-04-06 21:40:09+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, OpenAI