Do You Trust Your Model? Emerging Malware Threats in the Deep Learning Ecosystem
Created by
Haebom
저자
Dorjan Hitaj, Giulio Pagnotta, Fabio De Gaspari, Sediola Ruko, Briland Hitaj, Luigi V. Mancini, Fernando Perez-Cruz
개요
본 논문은 사전 훈련된 딥러닝 모델의 공개 저장소를 통한 악성 코드 유포 위협에 대한 새로운 공격 기법인 MaleficNet 2.0을 제시한다. MaleficNet 2.0은 확산 스펙트럼 채널 코딩과 오류 정정 기법을 사용하여 딥러닝 모델의 파라미터에 악성 페이로드를 삽입한다. 이 기법은 은밀하며 모델 성능 저하 없이 작동하고, 기존 제거 기법에도 강하다. 전통적인 학습 환경과 분산 학습 환경(예: 연합 학습) 모두에서 작동하며, 파라미터에 사용되는 비트 수가 적더라도 효과적임을 보여준다. 널리 사용되는 머신러닝 프레임워크를 대상으로 한 개념 증명(proof-of-concept) 자기 추출 신경망 악성 코드를 구현하여 공격의 실현 가능성을 입증한다. 연구 및 산업계에서 이러한 새로운 위협에 대한 인식을 높이고, 완화 기술에 대한 추가 연구를 장려하는 것을 목표로 한다.
시사점, 한계점
•
시사점:
◦
사전 훈련된 딥러닝 모델의 공개 저장소를 통한 악성 코드 유포의 새로운 위협을 제시한다.
◦
MaleficNet 2.0은 은밀하고 강력하며 성능 저하가 없는 악성 코드 삽입 기법임을 보여준다.
◦
전통적인 학습 및 분산 학습 환경 모두에서 효과적임을 보여준다.
◦
머신러닝 공급망 보안에 대한 중요성을 강조하고, 관련 연구를 촉진한다.
•
한계점:
◦
현재는 개념 증명 단계이며, 실제 세계 공격에 대한 광범위한 테스트가 필요하다.
◦
MaleficNet 2.0에 대한 효과적인 방어 기법에 대한 연구가 더 필요하다.
◦
특정 머신러닝 프레임워크에 대한 공격을 보여주었지만, 다른 프레임워크에 대한 적용 가능성은 추가 연구가 필요하다.
