Busting the Paper Ballot: Voting Meets Adversarial Machine Learning

要約

米国の選挙集計機で機械学習分類子を使用することに関連するセキュリティリスクを示します。
選挙集計の中央分類タスクは、投票のコンテストで代替案に関連するバブルにマークが表示されるかどうかを決定することです。
Barretto et al。
（e-vote-id 2021）は、単純な機能ベースの分類子よりも優れているため、この分野では畳み込みニューラルネットワークが実行可能なオプションであると報告しました。
選挙の安全保障への貢献は、4つの部分に分けることができます。
選挙集計機の機械学習モデルの仮説的な脆弱性を実証および分析するために、最初に4つの新しい投票データセットを紹介します。
第二に、新しいデータセットでさまざまなモデルをトレーニングおよびテストします。
これらのモデルには、サポートベクターマシン、畳み込みニューラルネットワーク（基本的なCNN、VGG、ResNet）、および視覚変圧器（双子とCAIT）が含まれます。
第三に、新しいデータセットと訓練されたモデルを使用して、勾配マスキングのために、従来のホワイトボックス攻撃が投票ドメインで効果がないことを示しています。
私たちの分析により、勾配マスキングは数値不安定性の産物であることがさらに明らかになりました。
この問題を克服するために、修正されたロジッツ比損失の違いを使用しています（Croce and Hein、ICML 2020）。
第4に、物理的な世界では、新しい方法を使用して生成された敵対的な例で攻撃を行います。
従来の敵対的な機械学習では、高い（50％以上）攻撃成功率が理想的です。
ただし、特定の選挙では、5％の攻撃成功率でさえ、人種の結果をひっくり返す可能性があります。
物理ドメインでこのような影響が可能であることを示します。
攻撃のリアリズムと、投票の敵対的な例の印刷とスキャンに関連する課題と実用性について徹底的に議論します。

要約(オリジナル)

We show the security risk associated with using machine learning classifiers in United States election tabulators. The central classification task in election tabulation is deciding whether a mark does or does not appear on a bubble associated to an alternative in a contest on the ballot. Barretto et al. (E-Vote-ID 2021) reported that convolutional neural networks are a viable option in this field, as they outperform simple feature-based classifiers. Our contributions to election security can be divided into four parts. To demonstrate and analyze the hypothetical vulnerability of machine learning models on election tabulators, we first introduce four new ballot datasets. Second, we train and test a variety of different models on our new datasets. These models include support vector machines, convolutional neural networks (a basic CNN, VGG and ResNet), and vision transformers (Twins and CaiT). Third, using our new datasets and trained models, we demonstrate that traditional white box attacks are ineffective in the voting domain due to gradient masking. Our analyses further reveal that gradient masking is a product of numerical instability. We use a modified difference of logits ratio loss to overcome this issue (Croce and Hein, ICML 2020). Fourth, in the physical world, we conduct attacks with the adversarial examples generated using our new methods. In traditional adversarial machine learning, a high (50% or greater) attack success rate is ideal. However, for certain elections, even a 5% attack success rate can flip the outcome of a race. We show such an impact is possible in the physical domain. We thoroughly discuss attack realism, and the challenges and practicality associated with printing and scanning ballot adversarial examples.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google