2つのモデルの話:エッジモデルにおける回避攻撃の構築【JST・京大機械翻訳】

Hao Wei; Awatramani Aahil; Hu Jiayang; Mao Chengzhi; Chen Pin-Chun; Cidon Eyal; Cidon Asaf; Yang Junfeng

プレプリント

J-GLOBAL ID：202202202970714940 整理番号：22P0337144

2つのモデルの話:エッジモデルにおける回避攻撃の構築【JST・京大機械翻訳】

A Tale of Two Models: Constructing Evasive Attacks on Edge Models

出版者サイト {{ this.onShowPLink() }} 複写サービスで全文入手
高度な検索・分析はJDreamⅢで

この文献はプレプリントです。プレプリントについてはこちらをご確認ください。

著者 (8件)： , , , , , , ,
資料名：
発行年： 2022年04月22日プレプリントサーバーでの情報更新日： 2022年04月22日
JST資料番号： O7000B 資料種別：プレプリント
記事区分：プレプリント発行国：アメリカ合衆国 (USA) 言語：英語 (EN)

完全精密深層学習モデルは,エッジデバイスに展開するために,典型的には大きすぎるか,あるいは高価である。限られたハードウェア資源に適応するために,量子化と剪定のような様々なエッジ適応技術を用いてエッジにモデルを適用した。そのような技法は,トップライン精度に対して無視できるインパクトを持つかもしれないが,適応モデルは,それらが導出された元のモデルと比較して,出力に微妙な差を示す。本論文では,オリジナルと適応モデル間の出力差を最大化する入力データに敵対雑音を加えることにより,エッジ適応におけるこれらの違いを利用する新しい回避攻撃,DIVAを導入した。そのような攻撃は,悪意のある入力がエッジ上で実行される適応モデルをトリックするので,特に危険である,しかし,検証,デバッギング,および再訓練のために使用する,著者のモデルバージョンとして典型的に役立つオリジナルのモデルによって実質的に検出されないであろう。DIVAを最先端の攻撃,PGDと比較し,DIVAは適応モデルを攻撃する上で1.7~3.6%だけ悪いが,PGDと比較して,ホワイトボックスとセミブラックボックス設定の下で元のモデルでは検出されない1.9~4.2倍であることを示した。【JST・京大機械翻訳】

, , , , ,
, , , , 【Automatic Indexing@JST】

図形・画像処理一般

, , , ,

前のページに戻る