Adversarial Poisoning Attack on Quantum Machine Learning Models

要約

量子機械学習 (QML) への関心が高まり、クラウド プロバイダーを通じて量子コンピューターの可用性が高まるにつれて、QML に関連する潜在的なセキュリティ リスクに対処することが緊急の優先事項になっています。
QML ドメインにおける主な懸念の 1 つは、現在の量子クラウド設定におけるデータポイズニング攻撃の脅威です。
トレーニング データへの敵対的なアクセスは、QML モデルの整合性と可用性を著しく損なう可能性があります。
従来のデータ ポイズニング手法では、ポイズニングされたデータを生成するには多大な知識とトレーニングが必要であり、ノイズ耐性に欠けているため、ノイズの多い中間スケール量子 (NISQ) 時代の QML モデルには効果がありません。
この研究では、まず、エンコード回路の出力を分析することによってクラス内のエンコーダ状態類似性 (ESS) を測定するための、シンプルかつ効果的な手法を提案します。
このアプローチを利用して、量子無差別データポイズニング攻撃 (QUID) を導入します。
ノイズのない環境とノイズの多い環境 (IBM\_ブリスベンのノイズなど) の両方で、さまざまなアーキテクチャとデータセットにわたって行われた広範な実験を通じて、QUID は、ベースライン モデルと比較してモデル パフォーマンスで最大 $92\%$ の精度の低下と、最大 $75\%$ の精度の低下を達成しました。
ランダムなラベル反転と比較した場合の劣化。
また、最先端の古典的な防御に対して QUID をテストしましたが、精度の低下は依然として $50\%$ を超えており、その有効性が実証されました。
この研究は、QML のコンテキストでデータ ポイズニング攻撃を再評価する最初の試みを表しています。

要約(オリジナル)

With the growing interest in Quantum Machine Learning (QML) and the increasing availability of quantum computers through cloud providers, addressing the potential security risks associated with QML has become an urgent priority. One key concern in the QML domain is the threat of data poisoning attacks in the current quantum cloud setting. Adversarial access to training data could severely compromise the integrity and availability of QML models. Classical data poisoning techniques require significant knowledge and training to generate poisoned data, and lack noise resilience, making them ineffective for QML models in the Noisy Intermediate Scale Quantum (NISQ) era. In this work, we first propose a simple yet effective technique to measure intra-class encoder state similarity (ESS) by analyzing the outputs of encoding circuits. Leveraging this approach, we introduce a quantum indiscriminate data poisoning attack, QUID. Through extensive experiments conducted in both noiseless and noisy environments (e.g., IBM\_Brisbane’s noise), across various architectures and datasets, QUID achieves up to $92\%$ accuracy degradation in model performance compared to baseline models and up to $75\%$ accuracy degradation compared to random label-flipping. We also tested QUID against state-of-the-art classical defenses, with accuracy degradation still exceeding $50\%$, demonstrating its effectiveness. This work represents the first attempt to reevaluate data poisoning attacks in the context of QML.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google