Główne pojęcia
深層ニューラルネットワークの重量を直接変更することで、ハードウェアアクセラレータの消費エネルギーを増加させる新しい攻撃手法を提案する。
Streszczenie
本研究では、深層ニューラルネットワークの重量を直接変更することで、ハードウェアアクセラレータの消費エネルギーを増加させる新しい攻撃手法「SpongeNet」を提案している。従来の攻撃手法であるスポンジ例やスポンジ汚染とは異なり、SpongeNetは事前学習済みのモデルの重みを直接変更することで攻撃を行う。
実験の結果、SpongeNetは少ないサンプル数で従来手法よりも高い消費エネルギー増加を達成できることが示された。また、SpongeNetは従来手法よりも攻撃の痕跡が小さく、検知されにくいことが確認された。さらに、StarGANモデルに対してもSpongeNetが有効であることが示された。
本研究の主な貢献は以下の通りである:
- 事前学習済みモデルの重みを直接変更する初の「SpongeNet」攻撃手法を提案した
- GANモデルに対するエネルギー攻撃を初めて検討した
- 様々なビジョンモデルとデータセットに対して、SpongeNetが11%までのエネルギー増加を達成できることを示した
- SpongeNetが従来手法よりも攻撃の痕跡が小さく、検知されにくいことを示した
- 重みの摂動やファイン・プルーニングなどの防御手法に対する検討を行った
Statystyki
通常のVGG16モデルと比較して、SpongeNetによる攻撃後のVGG16モデルのエネルギー消費は最大11.8%増加した。
通常のResNet18モデルと比較して、SpongeNetによる攻撃後のResNet18モデルのエネルギー消費は最大6.7%増加した。
通常のStarGANモデルと比較して、SpongeNetによる攻撃後のStarGANモデルのエネルギー消費は最大5.3%増加した。
Cytaty
"SpongeNetは事前学習済みモデルの重みを直接変更することで攻撃を行う初の手法である。"
"SpongeNetは従来手法よりも少ないサンプル数で高いエネルギー増加を達成できる。"
"SpongeNetは従来手法よりも攻撃の痕跡が小さく、検知されにくい。"