The SkipSponge Attack: Sponge Weight Poisoning of Deep Neural Networks

要約

スポンジ攻撃は、ニューラル ネットワークのエネルギー消費と計算時間を増加させることを目的としています。
この作品では、SkipSponge と呼ばれる新しいスポンジ攻撃を紹介します。
SkipSponge は、わずかなデータ サンプルのみを使用して、事前トレーニングされたモデルのパラメーターに対して直接実行される初のスポンジ攻撃です。
私たちの実験では、SkipSponge が最新技術 (Sponge Poisoning) よりも少ないサンプルしか必要とせず、画像分類モデル、GAN、およびオートエンコーダーのエネルギー消費を増加させることができることを示しています。
我々は、ポイズニング防御が、SkipSponge に対する防御に特化して調整されていない場合 (つまり、ターゲット層のバイアス値を減少させる) には効果がないことを示します。
私たちの研究では、Sponge Poisoning よりも SkipSponge が GAN とオートエンコーダーに対してより効果的であることが示されています。
さらに、SkipSponge は被害者モデルの重みを大幅に変更する必要がないため、Sponge Poisoning よりもステルス性が高くなります。
私たちの実験では、攻撃者がデータセット全体の 1% にしかアクセスできず、エネルギー増加が最大 13% に達する場合でも、SkipSponge を実行できることが示されています。

要約(オリジナル)

Sponge attacks aim to increase the energy consumption and computation time of neural networks. In this work, we present a novel sponge attack called SkipSponge. SkipSponge is the first sponge attack that is performed directly on the parameters of a pre-trained model using only a few data samples. Our experiments show that SkipSponge can successfully increase the energy consumption of image classification models, GANs, and autoencoders requiring fewer samples than the state-of-the-art (Sponge Poisoning). We show that poisoning defenses are ineffective if not adjusted specifically for the defense against SkipSponge (i.e., they decrease target layer bias values). Our work shows that SkipSponge is more effective on the GANs and the autoencoders than Sponge Poisoning. Additionally, SkipSponge is stealthier than Sponge Poisoning as it does not require significant changes in the victim model’s weights. Our experiments indicate that SkipSponge can be performed even when an attacker has access to only 1% of the entire dataset and reaches up to 13% energy increase.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google