SkipSponge攻撃:深層ニューラルネットワークに対するスポンジウェイトポイズニング
なぜ重要か: 企業や社会への影響が見込まれ、一般メディアにも波及する可能性があります。
arXiv:2402.06357v5 発表タイプ: replace-cross
要約: スポンジ攻撃は、ニューラルネットワークのエネルギー消費量と計算時間を増加させることを目的とする。本研究では、SkipSpongeと呼ばれる新規スポンジ攻撃手法を提案する。SkipSpongeは、少量のデータサンプルのみを用いて、事前学習済みモデルのパラメータに直接作用する初のスポンジ攻撃である。実験の結果、SkipSpongeは画像分類モデル、GAN、オートエンコーダのエネルギー消費量を効果的に増加させることができ、最先端のスポンジ攻撃手法(Sponge Poisoning)よりも少ないサンプル数で済むことが示された。SkipSpongeに対する防御が調整されない限り(つまり、ターゲット層のバイアス値を減少させない限り)、ポイズニング防御は効果がなく、SkipSpongeはSponge PoisoningよりもGANとオートエンコーダにおいてより効果的であることを示す。さらに、SkipSpongeは、被害モデルのパラメータに大きな変更を加える必要がないため、ステルス性が高い。実験の結果、SkipSpongeは、トレーニングデータセットの1%未満しかアクセスできない場合でも実行可能であり、最大13%のエネルギー増加に達することが示された。
原文(英語)を表示
Title (EN): The SkipSponge Attack: Sponge Weight Poisoning of Deep Neural Networks
arXiv:2402.06357v5 Announce Type: replace-cross
Abstract: Sponge attacks aim to increase the energy consumption and computation time of neural networks. In this work, we present a novel sponge attack called SkipSponge. SkipSponge is the first sponge attack that is performed directly on the parameters of a pretrained model using only a few data samples. Our experiments show that SkipSponge can successfully increase the energy consumption of image classification models, GANs, and autoencoders, requiring fewer samples than the state-of-the-art sponge attacks (Sponge Poisoning). We show that poisoning defenses are ineffective if not adjusted specifically for the defense against SkipSponge (i.e., they decrease target layer bias values) and that SkipSponge is more effective on the GANs and the autoencoders than Sponge Poisoning. Additionally, SkipSponge is stealthy as it does not require significant changes to the victim model’s parameters. Our experiments indicate that SkipSponge can be performed even when an attacker has access to less than 1% of the entire training dataset and reaches up to 13% energy increase.
Published: 2025-09-24 19:00 UTC