論文の概要: Subnet Replacement: Deployment-stage backdoor attack against deep neural
networks in gray-box setting
- arxiv url: http://arxiv.org/abs/2107.07240v1
- Date: Thu, 15 Jul 2021 10:47:13 GMT
- ステータス: 処理完了
- システム内更新日: 2021-07-16 21:19:12.021803
- Title: Subnet Replacement: Deployment-stage backdoor attack against deep neural
networks in gray-box setting
- Title(参考訳): Subnet Replacement:グレーボックス設定におけるディープニューラルネットワークに対するデプロイステージバックドアアタック
- Authors: Xiangyu Qi, Jifeng Zhu, Chulin Xie, Yong Yang
- Abstract要約: 本研究では,DNN(Deep Neural Network)に対するバックドアアタック(バックドアアタック)の現実的可能性について検討する。
本稿では,限られた数のモデルパラメータを直接修正することで,バックドアをDNNに埋め込むことのできるSubnet Replacement Attack (SRA)を提案する。
- 参考スコア(独自算出の注目度): 3.69409109715429
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: We study the realistic potential of conducting backdoor attack against deep
neural networks (DNNs) during deployment stage. Specifically, our goal is to
design a deployment-stage backdoor attack algorithm that is both threatening
and realistically implementable. To this end, we propose Subnet Replacement
Attack (SRA), which is capable of embedding backdoor into DNNs by directly
modifying a limited number of model parameters. Considering the realistic
practicability, we abandon the strong white-box assumption widely adopted in
existing studies, instead, our algorithm works in a gray-box setting, where
architecture information of the victim model is available but the adversaries
do not have any knowledge of parameter values. The key philosophy underlying
our approach is -- given any neural network instance (regardless of its
specific parameter values) of a certain architecture, we can always embed a
backdoor into that model instance, by replacing a very narrow subnet of a
benign model (without backdoor) with a malicious backdoor subnet, which is
designed to be sensitive (fire large activation value) to a particular backdoor
trigger pattern.
- Abstract(参考訳): 本稿では,DNN(Deep Neural Network)に対するバックドア攻撃の現実的可能性について検討する。
具体的には、デプロイステージのバックドアアタックアルゴリズムを設計して、脅威と現実的な実装を両立させることが目標です。
そこで本研究では,限られた数のモデルパラメータを直接修正することで,バックドアをDNNに埋め込むことのできるSubnet Replacement Attack (SRA)を提案する。
現実的な実践性を考えると、既存の研究で広く採用されている強いホワイトボックスの仮定を放棄する代わりに、我々のアルゴリズムは、被害者モデルのアーキテクチャ情報を利用できるが、敵にはパラメータ値の知識がないグレーボックスの環境で機能する。
このアプローチの根底にある重要な哲学は -- 特定のアーキテクチャのニューラルネットワークインスタンス(特定のパラメータ値に関係なく)を考慮すれば、特定のバックドアトリガパターンに敏感(大きなアクティベーション値)を持つように設計された悪意のあるバックドアサブネットに(バックドアなしで)非常に狭いサブネットを置き換えることで、常にバックドアをモデルインスタンスに組み込むことができます。
関連論文リスト
- Model Pairing Using Embedding Translation for Backdoor Attack Detection
on Open-Set Classification Tasks [51.78558228584093]
バックドア検出のためのオープンセット分類タスクにモデルペアを用いることを提案する。
両モデルがバックドアされている場合でも,バックドアが検出可能であることを示す。
論文 参考訳(メタデータ) (2024-02-28T21:29:16Z) - When Side-Channel Attacks Break the Black-Box Property of Embedded
Artificial Intelligence [0.8192907805418583]
ディープニューラルネットワーク(DNN)は、人間の観察者にとって検出不能な状態でネットワークを騙すために設計された悪意のある例である。
本稿では,ロジットを抽出することで,この制約を解決するアーキテクチャ非依存攻撃を提案する。
本手法は, 電磁漏れを利用したサイドチャネル攻撃を行うことにより, ハードウェアとソフトウェアを併用する。
論文 参考訳(メタデータ) (2023-11-23T13:41:22Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Mind Your Heart: Stealthy Backdoor Attack on Dynamic Deep Neural Network
in Edge Computing [8.69143545268788]
本稿では,動的マルチエクイットDNNモデルに特化して,新たなバックドア攻撃を提案する。
私たちのバックドアは、複数の最先端のバックドア検出や削除方法を回避するためにステルス性があります。
論文 参考訳(メタデータ) (2022-12-22T14:43:48Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - An anomaly detection approach for backdoored neural networks: face
recognition as a case study [77.92020418343022]
本稿では,異常検出の原理に基づく新しいバックドアネットワーク検出手法を提案する。
バックドアネットワークの新たなデータセット上で本手法を検証し,完全スコアで検出可能性について報告する。
論文 参考訳(メタデータ) (2022-08-22T12:14:13Z) - Towards Practical Deployment-Stage Backdoor Attack on Deep Neural
Networks [5.231607386266116]
ディープラーニングモデルに対するデプロイステージバックドア攻撃の現実的な脅威について検討する。
バックドアインジェクションのための最初のグレーボックスと物理的に実現可能な重み攻撃アルゴリズムを提案する。
本研究は,攻撃アルゴリズムの有効性と実用性を示すものである。
論文 参考訳(メタデータ) (2021-11-25T08:25:27Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z) - Dynamic Backdoor Attacks Against Machine Learning Models [28.799895653866788]
本研究では,DNN(Random Backdoor,Backdoor Generating Network,BaN)および条件付きBackdoor Generating Network(c-BaN)に対する動的バックドア技術の最初のクラスを提案する。
新たな生成ネットワークに基づくBaNとc-BaNは、アルゴリズムによってトリガを生成する最初の2つのスキームである。
本手法は, バックドアデータに対するほぼ完璧な攻撃性能を実現し, 実用性に欠ける損失を生じさせる。
論文 参考訳(メタデータ) (2020-03-07T22:46:51Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。