当前位置:
X-MOL 学术
›
arXiv.cs.CR
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
ES Attack: Model Stealing against Deep Neural Networks without Data Hurdles
arXiv - CS - Cryptography and Security Pub Date : 2020-09-21 , DOI: arxiv-2009.09560 Xiaoyong Yuan, Lei Ding, Lan Zhang, Xiaolin Li, Dapeng Wu
arXiv - CS - Cryptography and Security Pub Date : 2020-09-21 , DOI: arxiv-2009.09560 Xiaoyong Yuan, Lei Ding, Lan Zhang, Xiaolin Li, Dapeng Wu
Deep neural networks (DNNs) have become the essential components for various
commercialized machine learning services, such as Machine Learning as a Service
(MLaaS). Recent studies show that machine learning services face severe privacy
threats - well-trained DNNs owned by MLaaS providers can be stolen through
public APIs, namely model stealing attacks. However, most existing works
undervalued the impact of such attacks, where a successful attack has to
acquire confidential training data or auxiliary data regarding the victim DNN.
In this paper, we propose ES Attack, a novel model stealing attack without any
data hurdles. By using heuristically generated synthetic data, ES
Attackiteratively trains a substitute model and eventually achieves a
functionally equivalent copy of the victim DNN. The experimental results reveal
the severity of ES Attack: i) ES Attack successfully steals the victim model
without data hurdles, and ES Attack even outperforms most existing model
stealing attacks using auxiliary data in terms of model accuracy; ii) most
countermeasures are ineffective in defending ES Attack; iii) ES Attack
facilitates further attacks relying on the stolen model.
中文翻译:
ES 攻击:针对没有数据障碍的深度神经网络进行模型窃取
深度神经网络 (DNN) 已成为各种商业化机器学习服务的重要组成部分,例如机器学习即服务 (MLaaS)。最近的研究表明,机器学习服务面临着严重的隐私威胁——MLaaS 提供商拥有的训练有素的 DNN 可以通过公共 API 被窃取,即模型窃取攻击。然而,大多数现有工作都低估了此类攻击的影响,成功的攻击必须获取有关受害 DNN 的机密训练数据或辅助数据。在本文中,我们提出了 ES Attack,一种没有任何数据障碍的新型模型窃取攻击。通过使用启发式生成的合成数据,ES Attackiteratively 训练替代模型并最终实现受害 DNN 的功能等效副本。实验结果揭示了 ES Attack 的严重性:i) ES Attack在没有数据障碍的情况下成功地窃取了受害者模型,并且ES Attack在模型准确性方面甚至优于大多数使用辅助数据的现有模型窃取攻击;ii) 大多数对策在防御 ES 攻击方面无效;iii) ES Attack 促进了依赖于被盗模型的进一步攻击。
更新日期:2020-09-22
中文翻译:
ES 攻击:针对没有数据障碍的深度神经网络进行模型窃取
深度神经网络 (DNN) 已成为各种商业化机器学习服务的重要组成部分,例如机器学习即服务 (MLaaS)。最近的研究表明,机器学习服务面临着严重的隐私威胁——MLaaS 提供商拥有的训练有素的 DNN 可以通过公共 API 被窃取,即模型窃取攻击。然而,大多数现有工作都低估了此类攻击的影响,成功的攻击必须获取有关受害 DNN 的机密训练数据或辅助数据。在本文中,我们提出了 ES Attack,一种没有任何数据障碍的新型模型窃取攻击。通过使用启发式生成的合成数据,ES Attackiteratively 训练替代模型并最终实现受害 DNN 的功能等效副本。实验结果揭示了 ES Attack 的严重性:i) ES Attack在没有数据障碍的情况下成功地窃取了受害者模型,并且ES Attack在模型准确性方面甚至优于大多数使用辅助数据的现有模型窃取攻击;ii) 大多数对策在防御 ES 攻击方面无效;iii) ES Attack 促进了依赖于被盗模型的进一步攻击。