論文の概要: Light Can Hack Your Face! Black-box Backdoor Attack on Face Recognition
Systems
- arxiv url: http://arxiv.org/abs/2009.06996v1
- Date: Tue, 15 Sep 2020 11:50:29 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-18 05:50:39.434367
- Title: Light Can Hack Your Face! Black-box Backdoor Attack on Face Recognition
Systems
- Title(参考訳): 光はあなたの顔をハックできる!
顔認識システムにおけるブラックボックスバックドア攻撃
- Authors: Haoliang Li (1), Yufei Wang (1), Xiaofei Xie (1), Yang Liu (1), Shiqi
Wang (2), Renjie Wan (1), Lap-Pui Chau (1), and Alex C. Kot (1) ((1) Nanyang
Technological University, Singapore, (2) City University of Hong Kong)
- Abstract要約: 顔認識システムにおけるブラックボックスバックドア攻撃手法を提案する。
バックドアトリガは極めて効果的であり、攻撃成功率は最大で88%である。
本研究は,既存の顔認識/検証技術のセキュリティ問題に注意を喚起する,新たな物理的バックドア攻撃を明らかにしたことを強調した。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep neural networks (DNN) have shown great success in many computer vision
applications. However, they are also known to be susceptible to backdoor
attacks. When conducting backdoor attacks, most of the existing approaches
assume that the targeted DNN is always available, and an attacker can always
inject a specific pattern to the training data to further fine-tune the DNN
model. However, in practice, such attack may not be feasible as the DNN model
is encrypted and only available to the secure enclave.
In this paper, we propose a novel black-box backdoor attack technique on face
recognition systems, which can be conducted without the knowledge of the
targeted DNN model. To be specific, we propose a backdoor attack with a novel
color stripe pattern trigger, which can be generated by modulating LED in a
specialized waveform. We also use an evolutionary computing strategy to
optimize the waveform for backdoor attack. Our backdoor attack can be conducted
in a very mild condition: 1) the adversary cannot manipulate the input in an
unnatural way (e.g., injecting adversarial noise); 2) the adversary cannot
access the training database; 3) the adversary has no knowledge of the training
model as well as the training set used by the victim party.
We show that the backdoor trigger can be quite effective, where the attack
success rate can be up to $88\%$ based on our simulation study and up to $40\%$
based on our physical-domain study by considering the task of face recognition
and verification based on at most three-time attempts during authentication.
Finally, we evaluate several state-of-the-art potential defenses towards
backdoor attacks, and find that our attack can still be effective. We highlight
that our study revealed a new physical backdoor attack, which calls for the
attention of the security issue of the existing face recognition/verification
techniques.
- Abstract(参考訳): ディープニューラルネットワーク(DNN)は多くのコンピュータビジョンアプリケーションで大きな成功を収めている。
しかし、バックドア攻撃の影響を受けやすいことも知られている。
バックドアアタックを行う場合、既存のアプローチのほとんどは、ターゲットのDNNは常に利用可能であり、アタッカーは常にトレーニングデータに特定のパターンを注入してDNNモデルをさらに微調整することができる。
しかし実際には、DNNモデルが暗号化され、セキュアなエンクレーブでのみ利用できるため、そのような攻撃は実現できないかもしれない。
本稿では,対象とするdnnモデルの知識を必要とせず,顔認識システムにおける新しいブラックボックスバックドア攻撃手法を提案する。
具体的には,LEDを特殊な波形で変調することで生成可能な,新しいカラーストライプパターントリガを用いたバックドア攻撃を提案する。
バックドアアタックのための波形最適化には進化的コンピューティング戦略も使用しています。
私たちのバックドア攻撃は非常に穏やかな状態で実行できます
1) 敵は,不自然な方法で入力を操作できない(例えば,敵の騒音を注入する)。
2) 敵は,トレーニングデータベースにアクセスできない。
3) 敵は, 被害者が使用する訓練セットだけでなく, 訓練モデルに関する知識も持っていない。
バックドアトリガは極めて有効であり, シミュレーション調査により攻撃成功率は最大8.8.%, 物理ドメイン調査では最大40.%と, 認証中の最大3回の試行に基づく顔認証と検証のタスクを考慮すれば有効であることを示す。
最後に,バックドア攻撃に対するいくつかの最先端の防御効果を評価し,攻撃が有効であることを示す。
そこで本研究では,既存の顔認識/検証技術におけるセキュリティ問題に注意を喚起する,新たな物理的バックドア攻撃を明らかにした。
関連論文リスト
- MakeupAttack: Feature Space Black-box Backdoor Attack on Face Recognition via Makeup Transfer [6.6251662169603005]
メイクアップアタック(MakeupAttack)と呼ばれるメイクアップトランスファーによる顔認証に対するバックドア攻撃を提案する。
本攻撃では,提案したメイクスタイルトリガーの微妙な特徴を学習するための反復訓練パラダイムを設計する。
提案手法は, モデル性能を損なうことなく, 有効性, 堅牢性, 自然性, ステルス性を保ちながら, 既存の防御を回避できることを示す。
論文 参考訳(メタデータ) (2024-08-22T11:39:36Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。
最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
論文 参考訳(メタデータ) (2022-11-02T16:03:43Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Handcrafted Backdoors in Deep Neural Networks [33.21980707457639]
トレーニング済みモデルのパラメータを直接操作してバックドアを注入する手工芸攻撃を導入する。
バックドアは4つのデータセットと4つのネットワークアーキテクチャで有効であり、成功率は96%を超えています。
以上の結果から,サプライチェーンバックドア攻撃の完全な空間を理解するためには,さらなる研究が必要であることが示唆された。
論文 参考訳(メタデータ) (2021-06-08T20:58:23Z) - Backdoor Attack in the Physical World [49.64799477792172]
ディープニューラルネットワーク(DNN)に隠れたバックドアを注入するバックドア攻撃
既存のバックドア攻撃のほとんどは、トレーニングおよびテスト画像にまたがる静的トリガ、すなわち$$トリガの設定を採用した。
テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、この攻撃パラダイムは脆弱であることを示す。
論文 参考訳(メタデータ) (2021-04-06T08:37:33Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。