論文の概要: Reverse Engineering Imperceptible Backdoor Attacks on Deep Neural
Networks for Detection and Training Set Cleansing
- arxiv url: http://arxiv.org/abs/2010.07489v1
- Date: Thu, 15 Oct 2020 03:12:24 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-07 04:36:34.885956
- Title: Reverse Engineering Imperceptible Backdoor Attacks on Deep Neural
Networks for Detection and Training Set Cleansing
- Title(参考訳): 深部ニューラルネットワークの逆工学的非受容バックドア攻撃によるクリーンシンキングの検出と訓練
- Authors: Zhen Xiang, David J. Miller, George Kesidis
- Abstract要約: バックドアデータ中毒は、ディープニューラルネットワークイメージ分類器に対する敵攻撃の新たな形態である。
本稿では,非受容的なバックドアパターンを用いたバックドア攻撃の防御において,ブレークスルーを行う。
1)トレーニングセットが毒であるかどうかを検知し,2)ターゲットクラスとトレーニングイメージをバックドアパターンを埋め込んだ状態で識別し,3)攻撃者が使用するバックドアパターンの推定をリバースエンジニアリングする。
- 参考スコア(独自算出の注目度): 22.22337220509128
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Backdoor data poisoning is an emerging form of adversarial attack usually
against deep neural network image classifiers. The attacker poisons the
training set with a relatively small set of images from one (or several) source
class(es), embedded with a backdoor pattern and labeled to a target class. For
a successful attack, during operation, the trained classifier will: 1)
misclassify a test image from the source class(es) to the target class whenever
the same backdoor pattern is present; 2) maintain a high classification
accuracy for backdoor-free test images. In this paper, we make a break-through
in defending backdoor attacks with imperceptible backdoor patterns (e.g.
watermarks) before/during the training phase. This is a challenging problem
because it is a priori unknown which subset (if any) of the training set has
been poisoned. We propose an optimization-based reverse-engineering defense,
that jointly: 1) detects whether the training set is poisoned; 2) if so,
identifies the target class and the training images with the backdoor pattern
embedded; and 3) additionally, reversely engineers an estimate of the backdoor
pattern used by the attacker. In benchmark experiments on CIFAR-10, for a large
variety of attacks, our defense achieves a new state-of-the-art by reducing the
attack success rate to no more than 4.9% after removing detected suspicious
training images.
- Abstract(参考訳): バックドアデータ中毒は、一般的にディープニューラルネットワークイメージ分類器に対する敵攻撃の新たな形態である。
攻撃者は、1つの(または複数の)ソースクラスからの比較的小さなイメージセットでトレーニングセットを毒化し、バックドアパターンに埋め込まれ、ターゲットクラスにラベル付けされる。
攻撃を成功させるために、作戦中、訓練された分類器は次のようになる。
1) 同じバックドアパターンが存在する場合、テストイメージをソースクラス(es)からターゲットクラスに誤分類する。
2) バックドアフリーテスト画像の分類精度は高い。
本稿では,トレーニングフェーズの前後で,非受容的なバックドアパターン(透かしなど)でバックドア攻撃を防御するためのブレークスルーを行う。
これは、トレーニングセットのどのサブセットが毒殺されているか(もしあるなら)、事前不明であるため、難しい問題である。
共同で最適化に基づくリバースエンジニアリングディフェンスを提案する。
1) トレーニングセットが毒であるか否かを検出する。
2)もしそうなら、ターゲットクラスとトレーニングイメージをバックドアパターンが埋め込まれた状態で識別し、
3) さらに,攻撃者が使用するバックドアパターンの推定をリバースエンジニアリングする。
cifar-10のベンチマーク実験では,検出された不審なトレーニング画像を削除することで,攻撃成功率を4.9%に抑えることで,新たな最先端の防御を実現する。
関連論文リスト
- Rethinking Backdoor Attacks [122.1008188058615]
バックドア攻撃では、悪意ある構築されたバックドアの例をトレーニングセットに挿入し、結果のモデルを操作に脆弱にする。
このような攻撃に対する防御は、典型的には、これらの挿入された例をトレーニングセットの外れ値として見ることと、堅牢な統計からのテクニックを使用してそれらを検出し、削除することである。
トレーニングデータ分布に関する構造情報がなければ,バックドア攻撃は自然に発生するデータの特徴と区別できないことを示す。
論文 参考訳(メタデータ) (2023-07-19T17:44:54Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Invisible Backdoor Attack with Dynamic Triggers against Person
Re-identification [71.80885227961015]
個人再識別(ReID)は、広範囲の現実世界のアプリケーションで急速に進展しているが、敵攻撃の重大なリスクも生じている。
動的トリガー・インビジブル・バックドア・アタック(DT-IBA)と呼ばれる,ReIDに対する新たなバックドア・アタックを提案する。
本研究は,提案したベンチマークデータセットに対する攻撃の有効性と盗聴性を広範囲に検証し,攻撃に対する防御手法の有効性を評価する。
論文 参考訳(メタデータ) (2022-11-20T10:08:28Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - MM-BD: Post-Training Detection of Backdoor Attacks with Arbitrary
Backdoor Pattern Types Using a Maximum Margin Statistic [27.62279831135902]
本稿では,任意の種類のバックドア埋め込みによるバックドア攻撃を検出するポストトレーニングディフェンスを提案する。
我々の検出器は正当なクリーンなサンプルを一切必要とせず、任意の数のソースクラスでバックドア攻撃を効率的に検出することができる。
論文 参考訳(メタデータ) (2022-05-13T21:32:24Z) - Narcissus: A Practical Clean-Label Backdoor Attack with Limited
Information [22.98039177091884]
クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。
本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。
私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
論文 参考訳(メタデータ) (2022-04-11T16:58:04Z) - Backdoor Attack in the Physical World [49.64799477792172]
ディープニューラルネットワーク(DNN)に隠れたバックドアを注入するバックドア攻撃
既存のバックドア攻撃のほとんどは、トレーニングおよびテスト画像にまたがる静的トリガ、すなわち$$トリガの設定を採用した。
テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、この攻撃パラダイムは脆弱であることを示す。
論文 参考訳(メタデータ) (2021-04-06T08:37:33Z) - WaNet -- Imperceptible Warping-based Backdoor Attack [20.289889150949836]
サードパーティーのモデルは、通常の状況でうまく機能するようにトレーニング中に毒を盛るが、トリガーパターンが現れると悪質に振る舞う。
本稿では,サードパーティモデルに対してワーピングベースのトリガーを用いた攻撃手法を提案する。
提案したバックドアは、人間の検査試験における従来の方法よりも広いマージンで優れており、そのステルス性を証明している。
論文 参考訳(メタデータ) (2021-02-20T15:25:36Z) - Reflection Backdoor: A Natural Backdoor Attack on Deep Neural Networks [46.99548490594115]
バックドア攻撃は、バックドアパターンをトレーニングデータのごく一部に注入することにより、バックドアを被害者モデルにインストールする。
被害者モデルにバックドアとして反射を植え付けるための反射バックドア(Refool)を提案する。
Refoolは最先端のDNNを高い成功率で攻撃することができる。
論文 参考訳(メタデータ) (2020-07-05T13:56:48Z) - Clean-Label Backdoor Attacks on Video Recognition Models [87.46539956587908]
画像バックドア攻撃は、ビデオでははるかに効果が低いことを示す。
本稿では,映像認識モデルに対するバックドアトリガとして,ユニバーサル・ディバイサル・トリガーを提案する。
提案したバックドア攻撃は,最先端のバックドア防御・検出手法に耐性がある。
論文 参考訳(メタデータ) (2020-03-06T04:51:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。