Umeå universitets logga

umu.sePublikationer
EnglishSvenskaNorsk
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
A training rate and survival heuristic for inference and robustness evaluation (Trashfire)
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap. Elastisys AB.ORCID-id: 0000-0002-0751-9695
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.ORCID-id: 0000-0001-7119-7646
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap. Elastisys AB.ORCID-id: 0000-0002-2633-6798
2025 (Engelska)Ingår i: Proceedings of 2024 International Conference on Machine Learning and Cybernetics, IEEE, 2025, s. 613-623Konferensbidrag, Publicerat paper (Refereegranskat)
Abstract [en]

Machine learning models—deep neural networks in particular—have performed remarkably well on benchmark datasets across a wide variety of domains. However, the ease of finding adversarial counter-examples remains a persistent problem when training times are measured in hours or days and the time needed to find a successful adversarial counter-example is measured in seconds. Much work has gone into generating and defending against these adversarial counter-examples, however the relative costs of attacks and defences are rarely discussed. Additionally, machine learning research is almost entirely guided by test/train metrics, but these would require billions of samples to meet industry standards. The present work addresses the problem of understanding and predicting how particular model hyper-parameters influence the performance of a model in the presence of an adversary. The proposed approach uses survival models, worst-case examples, and a cost-aware analysis to precisely and accurately reject a particular model change during routine model training procedures rather than relying on real-world deployment, expensive formal verification methods, or accurate simulations of very complicated systems (e.g., digitally recreating every part of a car or a plane). Through an evaluation of many pre-processing techniques, adversarial counter-examples, and neural network configurations, the conclusion is that deeper models do offer marginal gains in survival times compared to more shallow counterparts. However, we show that those gains are driven more by the model inference time than inherent robustness properties. Using the proposed methodology, we show that ResNet is hopelessly insecure against even the simplest of white box attacks.
Ort, förlag, år, upplaga, sidor
IEEE, 2025. s. 613-623
Serie
Proceedings (International Conference on Machine Learning and Cybernetics), ISSN 2160-133X, E-ISSN 2160-1348
Nyckelord [en]
Machine Learning, Computer Vision, Neural Networks, Adversarial AI, Trustworthy AI
Nationell ämneskategori
Artificiell intelligens Säkerhet, integritet och kryptologi Datavetenskap (datalogi)
Identifikatorer
URN: urn:nbn:se:umu:diva-237109DOI: 10.1109/ICMLC63072.2024.10935101Scopus ID: 2-s2.0-105002274020ISBN: 9798331528041 (digital)ISBN: 9798331528058 (tryckt)OAI: oai:DiVA.org:umu-237109DiVA, id: diva2:1949253
Konferens
2024 International Conference on Machine Learning and Cybernetics (ICMLC),Miyazaki, Japan, September 20-23,
Forskningsfinansiär
Knut och Alice Wallenbergs Stiftelse, 2019.0352eSSENCE - An eScience CollaborationTillgänglig från: 2025-04-02 Skapad: 2025-04-02 Senast uppdaterad: 2025-05-19Bibliografiskt granskad
Ingår i avhandling
1. Trustworthy machine learning
Öppna denna publikation i ny flik eller fönster >>Trustworthy machine learning
2025 (Engelska)Doktorsavhandling, sammanläggning (Övrigt vetenskapligt)
Alternativ titel[sv]
Tillförlitlig maskininlärning
Abstract [sv]

Denna avhandling studerar robusthet, integritet och reproducerbarhet i säker-hetskritisk maskininlärning, med särskild tonvikt på datorseende, avvikelse-detektering och undvikande attacker.

Arbetet inleds med att analysera de praktiska kostnaderna och fördelarna med försvarsstrategier mot attacker, vilket visar att vanliga mått på robusthet är dåliga indikatorer på verklig prestanda i attacker (Artikel I). Genom storskaliga experiment visar arbetet vidare att exempel på attacker ofta kan genereras i linjär tid, vilket ger angripare en beräkningsfördel gentemot försvar-are (Artikel II). För att hantera detta presenterar avhandlingen ett nytt mått – Training Rate and Survival Heuristic (TRASH) – för att förutsäga modellfel under attack och underlätta tidigt avvisande av sårbara arkitekturer (Artikel III). Detta mått utvidgades sedan till verkliga kostnader, vilket visar att robusthet i attacker kan förbättras med hjälp av billig hårdvara med låg precision utan att offra noggrannheten (Artikel IV).

Utöver robusthet behandlar avhandlingen integritet genom att utforma en lättviktig klientbaserad modell för spamdetektering som bevarar användardata och står emot flera klasser av attacker utan att kräva att beräkningar görs på serversidan (Artikel V). Som svar på behovet av reproducerbara och gransk-ningsbara experiment i säkerhetskritiska sammanhang presenterar avhandlingen även “deckard”, ett deklarativt programvaruramverk för distribuerade och robusta maskininlärningsexperiment (Artikel VI).

Tillsammans erbjuder dessa bidrag empiriska tekniker för att utvärdera och förbättra modellers robusthet, föreslår en integritetsbevarande klassificeringsstrategi och levererar praktiska verktyg för reproducerbara experiment. Sammantaget främjar avhandlingen målet att bygga maskininlärningssystem som inte bara är korrekta, utan också robusta, reproducerbara och pålitliga.
Abstract [en]

This thesis studies adversarial robustness, privacy, and reproducibility in safety critical machine learning systems, with particular emphasis on computer vision, anomaly detection, and evasion attacks through a series of papers. The work begins by analysing the practical costs and benefits of defence strategies against adversarial attacks, revealing that common robustness metrics are poor indicators of real-world adversarial performance (Paper I). Through large-scale experiments, it further demonstrates that adversarial examples can often be generated in linear time, granting attackers a computational advantage over defenders (Paper II). To address this, a novel metric—the Training Rate and Survival Heuristic (TRASH)—was developed to predict model failure under attack and facilitate early rejection of vulnerable architectures (Paper III). This metric was then extended to real-world cost, showing that adversarial robustness can be improved using low-cost, low-precision hardware without sacrificing accuracy (Paper IV). Beyond robustness, the thesis tackles privacy by designing a lightweight, client-side spam detection model that preserves user data and resists several classes of attacks without requiring server-side computation (Paper V). Recognizing the need for reproducible and auditable experiments in safety-critical contexts, the thesis also presents deckard, a declarative software frameworkfor distributed and robust machine learning experimentation (Paper VI). Together, these contributions offer empirical techniques for evaluating and improving model robustness, propose a privacy-preserving classification strategy, and deliver practical tooling for reproducible experimentation. Ultimately, this thesis advances the goal of building machine learning systems that are not only accurate, but also robust, reproducible, and trustworthy.
Ort, förlag, år, upplaga, sidor
Umeå, Sweden: Umeå University, 2025. s. 66
Serie
Report / UMINF, ISSN 0348-0542 ; 25.10
Nyckelord
Machine Learning, Adversarial Machine Learning, Anomaly Detection, Computer Vision, Robustness, Artificial Intelligence, Trustworthy Machine Learning, Adversariell maskininlärning, anomalidetektering, artificiell intelligens, datorseende, maskininlärning, robusthet, tillförlitlig maskininlärning
Nationell ämneskategori
Datavetenskap (datalogi)
Forskningsämne
datalogi
Identifikatorer
urn:nbn:se:umu:diva-238928 (URN)978-91-8070-722-0 (ISBN)978-91-8070-723-7 (ISBN)
Disputation
2025-06-11, UB.A.230 - Lindellhallen 3, Universitetstorget 4, Umeå, Sweden, 13:00 (Engelska)
Opponent
Handledare
Forskningsfinansiär
Knut och Alice Wallenbergs Stiftelse, 2019.035
Tillgänglig från: 2025-05-21 Skapad: 2025-05-16 Senast uppdaterad: 2025-05-19Bibliografiskt granskad

Open Access i DiVA

Fulltext saknas i DiVA

Övriga länkar

Förlagets fulltextScopus

Person

Meyers, CharlesSaleh Sedghpour, Mohammad RezaLöfstedt, TommyElmroth, Erik

Sök vidare i DiVA

Av författaren/redaktören
Meyers, CharlesSaleh Sedghpour, Mohammad RezaLöfstedt, TommyElmroth, Erik
Av organisationen
Institutionen för datavetenskap
Artificiell intelligensSäkerhet, integritet och kryptologiDatavetenskap (datalogi)

Sök vidare utanför DiVA

GoogleGoogle Scholar

doi
isbn
urn-nbn

Altmetricpoäng

doi
isbn
urn-nbn
Totalt: 183 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
v. 2.47.0
|
WCAG
|
Logga in
|
Manualer
|
Kontakta biblioteket