Spikewhisper: Temporal Spike Backdoor Attacks on Federated Neuromorphic Learning over Low-power Devices

要約

フェデレーション ニューロモーフィック ラーニング (FedNL) は、イベント駆動型スパイキング ニューラル ネットワークとフェデレーテッド ラーニング フレームワークを活用して、大量の分散型低電力デバイス上でインテリジェントな分析タスクを効果的に実行するだけでなく、ポイズニング攻撃に対する脆弱性も実行します。
従来のディープ ニューラル ネットワークに対するバックドア攻撃の脅威は、通常、時間不変データから発生します。
ただし、FedNL では、未知の脅威が時間とともに変化するスパイク信号に隠されている可能性があります。
このペーパーでは、Spikewhisper と呼ばれる、時分割多重の概念を備えた FedNL ベースのシステムの新しい脆弱性の調査を開始します。これにより、複数の悪意のあるクライアントが、異なるトリガーで気付かないうちに毒を盛ることができるため、攻撃者は可能な限り検出を回避できます。
タイムスライス。
特に、Spikewisper のステルス性は、グローバル トリガーの時間領域の可分性から得られます。各悪意のあるクライアントは、ニューロモーフィック サンプルの特定のタイムスライスにローカル トリガーを 1 つだけ貼り付けます。また、各ローカル トリガーの極性と動きも、
攻撃者によって設定されます。
2 つの異なる神経形態データセットに基づく広範な実験により、Spikewispher の攻撃成功率が時間的に集中化された攻撃よりも高いことが実証されました。
さらに、Spikewispher の効果はトリガー持続時間に敏感であることが検証されています。

要約(オリジナル)

Federated neuromorphic learning (FedNL) leverages event-driven spiking neural networks and federated learning frameworks to effectively execute intelligent analysis tasks over amounts of distributed low-power devices but also perform vulnerability to poisoning attacks. The threat of backdoor attacks on traditional deep neural networks typically comes from time-invariant data. However, in FedNL, unknown threats may be hidden in time-varying spike signals. In this paper, we start to explore a novel vulnerability of FedNL-based systems with the concept of time division multiplexing, termed Spikewhisper, which allows attackers to evade detection as much as possible, as multiple malicious clients can imperceptibly poison with different triggers at different timeslices. In particular, the stealthiness of Spikewhisper is derived from the time-domain divisibility of global triggers, in which each malicious client pastes only one local trigger to a certain timeslice in the neuromorphic sample, and also the polarity and motion of each local trigger can be configured by attackers. Extensive experiments based on two different neuromorphic datasets demonstrate that the attack success rate of Spikewispher is higher than the temporally centralized attacks. Besides, it is validated that the effect of Spikewispher is sensitive to the trigger duration.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google