要約
現在、インテリジェント サービスに対する需要が高まっているため、ディープ ラーニング ベースのアプリケーションの導入は不可欠なタスクとなっています。
このペーパーでは、深層学習アプリケーションに対するレイテンシー攻撃を調査します。
誤分類を目的とした一般的な敵対的攻撃とは異なり、レイテンシー攻撃の目的は推論時間を増大させることであり、その結果、アプリケーションが適切な時間内にリクエストに応答できなくなる可能性があります。
この種の攻撃はさまざまなアプリケーションで広く見られるため、オブジェクト検出を使用して、この種の攻撃がどのように機能するかを実証します。
また、大規模なレイテンシー攻撃を生成するために、Overload という名前のフレームワークも設計します。
私たちの方法は、新しく定式化された最適化問題と、空間注意と呼ばれる新しい技術に基づいています。
この攻撃は、推論時間中に必要なコンピューティング コストを増大させる役割を果たし、その結果、オブジェクト検出の推論時間の延長につながります。
これは、特にコンピューティング リソースが限られているシステムにとって、重大な脅威となります。
Nvidia NX 上で YOLOv5 モデルを使用して実験を実施しました。
既存の方法と比較して、私たちの方法はより簡単で効果的です。
実験結果は、レイテンシー攻撃を使用すると、単一画像の推論時間が通常の設定と比較して 10 倍長くなる可能性があることを示しています。
さらに、私たちの攻撃は NMS に依存しないため、今回の調査結果は、非最大抑制 (NMS) を必要とするすべての物体検出タスクに潜在的な新たな脅威をもたらします。
要約(オリジナル)
Nowadays, the deployment of deep learning-based applications is an essential task owing to the increasing demands on intelligent services. In this paper, we investigate latency attacks on deep learning applications. Unlike common adversarial attacks for misclassification, the goal of latency attacks is to increase the inference time, which may stop applications from responding to the requests within a reasonable time. This kind of attack is ubiquitous for various applications, and we use object detection to demonstrate how such kind of attacks work. We also design a framework named Overload to generate latency attacks at scale. Our method is based on a newly formulated optimization problem and a novel technique, called spatial attention. This attack serves to escalate the required computing costs during the inference time, consequently leading to an extended inference time for object detection. It presents a significant threat, especially to systems with limited computing resources. We conducted experiments using YOLOv5 models on Nvidia NX. Compared to existing methods, our method is simpler and more effective. The experimental results show that with latency attacks, the inference time of a single image can be increased ten times longer in reference to the normal setting. Moreover, our findings pose a potential new threat to all object detection tasks requiring non-maximum suppression (NMS), as our attack is NMS-agnostic.
arxiv情報
著者 | Erh-Chung Chen,Pin-Yu Chen,I-Hsin Chung,Che-rung Lee |
発行日 | 2024-04-26 17:23:06+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google