핵심 개념
다중 모델 시스템에서 공격자는 시스템의 일부 모델에 대한 제한적인 정보만으로도 전체 시스템을 공격하는 효과적인 적대적 공격을 수행할 수 있다.
초록
다중 모델 시스템의 새로운 보안 위협: 부분 정보 기반 공격
본 연구 논문에서는 다중 모델 시스템, 특히 시스템 일부에 대한 제한적인 프록시 접근만 가능한 경우 발생하는 새로운 보안 위협 모델을 제시합니다. 이는 실제 산업 환경에서 시스템의 모든 부분에 대한 프록시 모델을 만드는 것이 불가능하거나, 공격자가 데이터 전처리 또는 적대적 방어와 같은 시스템의 첫 번째 섹션에 대한 정보에 접근할 수 없는 경우 현실적인 시나리오입니다.
본 연구는 마지막 모델에 대한 프록시 모델만 사용 가능한 경우, 다중 모델 시스템에 대한 효과적인 적대적 공격을 만드는 것을 목표로 합니다.
본 논문에서는 'Keep on Swimming Attack (KoS)'라는 새로운 공격 방법을 제안합니다. 이 공격은 시스템의 프록시 불가능한 부분에서 적용된 수정 사항에도 불구하고 공격이 성공적으로 이루어지도록 입력 샘플을 반복적으로 업데이트합니다.
핵심 아이디어는 프록시 가능한 마지막 모델 (h2)에 대한 적대적 공격을 생성하고, 이 공격이 프록시 불가능한 첫 번째 모델 (h1)을 통과한 후에도 여전히 유효한지 확인하는 것입니다. 만약 공격이 h1에 의해 무효화되었다면, h1의 새로운 출력을 기반으로 입력 샘플을 업데이트하고 h2에 대한 공격을 다시 수행합니다. 이 과정을 반복하여 최종적으로 전체 시스템에 대한 적대적 샘플을 생성합니다.