MEAOD: Model Extraction Attack against Object Detectors

要約

さまざまな業界でディープ ラーニング テクノロジーが広く使用されているため、ディープ ニューラル ネットワーク モデルは非常に価値があり、その結果、潜在的な攻撃者にとって魅力的な標的となっています。
モデル抽出攻撃、特にクエリベースのモデル抽出攻撃により、攻撃者は被害モデルと同等の機能を持つ代替モデルを複製することができ、MLaaS プラットフォームの機密性とセキュリティに重大な脅威を与えます。
近年、分類モデルに対するモデル抽出攻撃の脅威について多くの研究が調査されていますが、現実世界のシナリオでより頻繁に使用される物体検出モデルはあまり注目されていません。
この論文では、オブジェクト検出モデルに対するクエリベースのモデル抽出攻撃の課題と実現可能性を調査し、MEAOD と呼ばれる効果的な攻撃手法を提案します。
攻撃者が所有するデータセットからサンプルを選択して、アクティブ ラーニングを使用して効率的なクエリ データセットを構築し、オブジェクトが不十分なカテゴリを強化します。
さらに、クエリ データセットのアノテーションを更新することで、抽出効率を向上させます。
グレー ボックス シナリオとブラック ボックス シナリオの実験によると、10,000 クエリ バジェットの特定の条件下で 70% 以上の抽出パフォーマンスを達成しました。

要約(オリジナル)

The widespread use of deep learning technology across various industries has made deep neural network models highly valuable and, as a result, attractive targets for potential attackers. Model extraction attacks, particularly query-based model extraction attacks, allow attackers to replicate a substitute model with comparable functionality to the victim model and present a significant threat to the confidentiality and security of MLaaS platforms. While many studies have explored threats of model extraction attacks against classification models in recent years, object detection models, which are more frequently used in real-world scenarios, have received less attention. In this paper, we investigate the challenges and feasibility of query-based model extraction attacks against object detection models and propose an effective attack method called MEAOD. It selects samples from the attacker-possessed dataset to construct an efficient query dataset using active learning and enhances the categories with insufficient objects. We additionally improve the extraction effectiveness by updating the annotations of the query dataset. According to our gray-box and black-box scenarios experiments, we achieve an extraction performance of over 70% under the given condition of a 10k query budget.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google