Energy-Latency Attacks via Sponge Poisoning

要約

スポンジの例は、ハードウェアアクセラレータに展開されたディープネットワークのエネルギー消費と予測の遅延を増加させるために最適化されたテスト時間入力です。
分類中に活性化されるニューロンの割合を増やすことで、これらの攻撃はネットワークの活性化パターンのスパース性を減らし、ハードウェアアクセラレータのパフォーマンスを悪化させます。
この作業では、分類の精度に影響を与えることなくテスト入力でニューラルネットワークのエネルギー消費と予測の遅延を悪化させることを目的とした、Sponge Ponisingという名前の新しいトレーニングタイム攻撃を提示します。
この攻撃を舞台にするために、攻撃者はトレーニング中に少数のモデルの更新のみを制御できると想定しています。たとえば、モデルトレーニングが信頼されていないサードパーティにアウトソーシングされたり、連合学習を介して配布されたりする場合のシナリオです。
画像分類タスクに関する広範な実験は、スポンジ中毒が効果的であり、それらを修復するための微調整された毒モデルがほとんどのユーザーに法外なコストをもたらすことを示しており、スポンジ中毒に取り組むことを強調しています。

要約(オリジナル)

Sponge examples are test-time inputs optimized to increase energy consumption and prediction latency of deep networks deployed on hardware accelerators. By increasing the fraction of neurons activated during classification, these attacks reduce sparsity in network activation patterns, worsening the performance of hardware accelerators. In this work, we present a novel training-time attack, named sponge poisoning, which aims to worsen energy consumption and prediction latency of neural networks on any test input without affecting classification accuracy. To stage this attack, we assume that the attacker can control only a few model updates during training — a likely scenario, e.g., when model training is outsourced to an untrusted third party or distributed via federated learning. Our extensive experiments on image classification tasks show that sponge poisoning is effective, and that fine-tuning poisoned models to repair them poses prohibitive costs for most users, highlighting that tackling sponge poisoning remains an open issue.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google