論文の概要: Data Poisoning Won't Save You From Facial Recognition
- arxiv url: http://arxiv.org/abs/2106.14851v1
- Date: Mon, 28 Jun 2021 17:06:19 GMT
- ステータス: 処理完了
- システム内更新日: 2021-06-29 17:43:20.996500
- Title: Data Poisoning Won't Save You From Facial Recognition
- Title(参考訳): データ中毒は顔認識から救えない
- Authors: Evani Radiya-Dixit, Florian Tram\`er
- Abstract要約: データ中毒は、Webスクラッド画像で訓練された顔認識モデルに対する説得力のある防御として提案されている。
この戦略がセキュリティの誤った感覚をもたらすことを実証する。
大規模顔認識に対する毒殺攻撃の2つのシステムについて検討した。
- 参考スコア(独自算出の注目度): 1.14219428942199
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Data poisoning has been proposed as a compelling defense against facial
recognition models trained on Web-scraped pictures. By perturbing the images
they post online, users can fool models into misclassifying future
(unperturbed) pictures. We demonstrate that this strategy provides a false
sense of security, as it ignores an inherent asymmetry between the parties:
users' pictures are perturbed once and for all before being published (at which
point they are scraped) and must thereafter fool all future models -- including
models trained adaptively against the users' past attacks, or models that use
technologies discovered after the attack. We evaluate two systems for poisoning
attacks against large-scale facial recognition, Fawkes (500,000+ downloads) and
LowKey. We demonstrate how an "oblivious" model trainer can simply wait for
future developments in computer vision to nullify the protection of pictures
collected in the past. We further show that an adversary with black-box access
to the attack can (i) train a robust model that resists the perturbations of
collected pictures and (ii) detect poisoned pictures uploaded online. We
caution that facial recognition poisoning will not admit an "arms race" between
attackers and defenders. Once perturbed pictures are scraped, the attack cannot
be changed so any future successful defense irrevocably undermines users'
privacy.
- Abstract(参考訳): データ中毒は、Webスクラッド画像で訓練された顔認識モデルに対する説得力のある防御として提案されている。
オンラインに投稿する画像をゆがめることで、ユーザーはモデルを誤分類して未来(未成熟)の写真にすることができる。
我々は、この戦略が、当事者間の固有の非対称性を無視して、誤ったセキュリティ感覚をもたらすことを実証する: ユーザーの写真は、公開前に(どの時点でスクレイプされるか)、その後、すべての将来のモデル -- ユーザーの過去の攻撃に対して適応的に訓練されたモデルや、攻撃後に発見された技術を使用するモデルを含む -- を騙さなければならない。
大規模顔認識、Fawkes(500,000ダウンロード以上)、LowKeyの2種類の毒性攻撃システムの評価を行った。
モデルトレーナーは、コンピュータビジョンの将来の発展を単に待つだけで、過去に収集された画像の保護を無効にすることができる。
さらに,ブラックボックスアクセスのある敵は,(i)収集した画像の摂動に抵抗する頑健なモデルを訓練し,(ii)オンラインにアップロードされた有毒な画像を検出することができることを示した。
顔認識による毒殺は、攻撃者とディフェンダーの間の「武器競争」を認めないと警告する。
乱れた画像がスクレイプされると、攻撃は変更できないため、将来の防衛が成功するとユーザーのプライバシーが損なわれる。
関連論文リスト
- Clean-image Backdoor Attacks [34.051173092777844]
本稿では,バックドアが不正確なラベルで注入可能であることを明らかにするクリーンイメージバックドア攻撃を提案する。
私たちの攻撃では、攻撃者はまず、トレーニングイメージを2つの部分に分割するトリガー機能を探します。
バックドアは、毒データで訓練された後、最終的にターゲットモデルに埋め込まれる。
論文 参考訳(メタデータ) (2024-03-22T07:47:13Z) - Object-oriented backdoor attack against image captioning [40.5688859498834]
画像分類タスクに対するバックドア攻撃は広く研究され、成功したことが証明されている。
本稿では,トレーニングデータから画像キャプションモデルへのバックドア攻撃について検討する。
本手法は,画像キャプティングモデルのバックドア攻撃に対する弱点を証明し,画像キャプティング分野におけるバックドア攻撃に対する防御意識を高めることを期待する。
論文 参考訳(メタデータ) (2024-01-05T01:52:13Z) - Pick your Poison: Undetectability versus Robustness in Data Poisoning
Attacks [33.82164201455115]
大量のWebスクラッドデータに基づいてトレーニングされた深層画像分類モデルは、データ中毒の影響を受けやすい。
既存の作業は、効果的な防御を、(i)修理によってモデルの整合性を回復するか、(ii)攻撃を検出するものと見なしている。
我々は、このアプローチが重要なトレードオフを見落としていると論じている。攻撃者は、検知可能性(過剰投下)を犠牲にして増加したり、ロバスト性(過密投下)を犠牲にして検出可能性を減らすことができる。
論文 参考訳(メタデータ) (2023-05-07T15:58:06Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Restricted Black-box Adversarial Attack Against DeepFake Face Swapping [70.82017781235535]
本稿では,顔画像偽造モデルに対する問い合わせを一切必要としない現実的な敵攻撃を提案する。
本手法は,顔の再構成を行う代用モデルに基づいて構築され,置換モデルから非アクセス可能なブラックボックスDeepFakeモデルへの逆例を直接転送する。
論文 参考訳(メタデータ) (2022-04-26T14:36:06Z) - On the Effectiveness of Adversarial Training against Backdoor Attacks [111.8963365326168]
バックドアモデルは、事前に定義されたトリガーパターンが存在する場合、常にターゲットクラスを予測する。
一般的には、敵の訓練はバックドア攻撃に対する防御であると信じられている。
本稿では,様々なバックドア攻撃に対して良好な堅牢性を提供するハイブリッド戦略を提案する。
論文 参考訳(メタデータ) (2022-02-22T02:24:46Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z) - Oriole: Thwarting Privacy against Trustworthy Deep Learning Models [16.224149190291048]
我々は,データ中毒攻撃と回避攻撃の利点を組み合わせたシステムであるオリオールを提案する。
提案するOrioleシステムでは,Fawkesシステムの性能を効果的に阻害し,有望な攻撃結果が得られる。
論文 参考訳(メタデータ) (2021-02-23T05:33:55Z) - Online Alternate Generator against Adversarial Attacks [144.45529828523408]
ディープラーニングモデルは、実際の画像に準知覚可能なノイズを加えることによって合成される敵の例に非常に敏感である。
対象ネットワークのパラメータをアクセスしたり変更したりする必要のない,ポータブルな防御手法であるオンライン代替ジェネレータを提案する。
提案手法は,入力画像のスクラッチから別の画像をオンライン合成することで,対向雑音を除去・破壊する代わりに機能する。
論文 参考訳(メタデータ) (2020-09-17T07:11:16Z) - Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised
Learning [71.17774313301753]
本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。
ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
論文 参考訳(メタデータ) (2020-06-05T03:03:06Z) - Fawkes: Protecting Privacy against Unauthorized Deep Learning Models [34.04323550970413]
Fawkesは、個人が画像に無許可の顔認識モデルに接種するのを助けるシステムだ。
我々は、Fawkesがユーザー認識に対する95%以上の保護を提供していることを実験的に実証した。
私たちは、今日の最先端の顔認識サービスに対する実験で100%成功しました。
論文 参考訳(メタデータ) (2020-02-19T18:00:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。