論文の概要: Circumventing Backdoor Defenses That Are Based on Latent Separability
- arxiv url: http://arxiv.org/abs/2205.13613v1
- Date: Thu, 26 May 2022 20:40:50 GMT
- ステータス: 処理完了
- システム内更新日: 2022-05-30 14:04:13.762381
- Title: Circumventing Backdoor Defenses That Are Based on Latent Separability
- Title(参考訳): 潜伏分離性に基づくバックドア防御の回避
- Authors: Xiangyu Qi, Tinghao Xie, Saeed Mahloujifar, Prateek Mittal
- Abstract要約: ディープラーニングモデルは、バックドア中毒の攻撃に弱い。
本稿では,適応的なバックドア毒殺攻撃を設計することで,潜伏分離を著しく抑制できることを示す。
以上の結果から,潜伏分離性の仮定を破る可能性のある適応的バックドア毒殺攻撃は,現在および将来の防衛効果を評価するために真剣に検討されるべきであると考えられる。
- 参考スコア(独自算出の注目度): 31.094315413132776
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep learning models are vulnerable to backdoor poisoning attacks. In
particular, adversaries can embed hidden backdoors into a model by only
modifying a very small portion of its training data. On the other hand, it has
also been commonly observed that backdoor poisoning attacks tend to leave a
tangible signature in the latent space of the backdoored model i.e. poison
samples and clean samples form two separable clusters in the latent space.
These observations give rise to the popularity of latent separability
assumption, which states that the backdoored DNN models will learn separable
latent representations for poison and clean populations. A number of popular
defenses (e.g. Spectral Signature, Activation Clustering, SCAn, etc.) are
exactly built upon this assumption. However, in this paper, we show that the
latent separation can be significantly suppressed via designing adaptive
backdoor poisoning attacks with more sophisticated poison strategies, which
consequently render state-of-the-art defenses based on this assumption less
effective (and often completely fail). More interestingly, we find that our
adaptive attacks can even evade some other typical backdoor defenses that do
not explicitly build on this separability assumption. Our results show that
adaptive backdoor poisoning attacks that can breach the latent separability
assumption should be seriously considered for evaluating existing and future
defenses.
- Abstract(参考訳): ディープラーニングモデルは、バックドア中毒の攻撃に弱い。
特に敵は、トレーニングデータのごく一部を変更するだけで、隠れたバックドアをモデルに埋め込むことができる。
一方, バックドア毒による攻撃は, バックドアモデルの潜伏空間に有意なサインを残す傾向にあり, 毒サンプルとクリーンサンプルは潜伏空間に2つの分離可能なクラスターを形成する傾向にある。
これらの観察は、隠れたDNNモデルが毒と清潔な集団の分離可能な潜伏表現を学習することを示す潜伏分離性仮定の人気を生んでいる。
多くの一般的な防御(スペクトルシグネチャ、アクティベーションクラスタリング、スキャンなど)は、この仮定に基づいて正確に構築されています。
しかし,本論文では,より高度な中毒戦略を用いた適応的なバックドア中毒攻撃の設計により,潜伏分離を著しく抑制できることを示す。
さらに興味深いのは、当社のアダプティブアタックが、この分離可能性の仮定に基づいて明示的に構築されていない、他の典型的なバックドア防御を回避できることです。
以上の結果から,潜伏分離性仮定を破る可能性のある適応的バックドア毒殺攻撃は,現在および将来の防衛効果を評価する上で重要であると考えられた。
関連論文リスト
- Towards Unified Robustness Against Both Backdoor and Adversarial Attacks [31.846262387360767]
ディープニューラルネットワーク(DNN)は、バックドアと敵の攻撃の両方に対して脆弱であることが知られている。
本稿では,バックドアと敵の攻撃との間には興味深い関係があることを明らかにする。
バックドアと敵の攻撃を同時に防御する新しいプログレッシブ統一防衛アルゴリズムが提案されている。
論文 参考訳(メタデータ) (2024-05-28T07:50:00Z) - Breaking the False Sense of Security in Backdoor Defense through Re-Activation Attack [32.74007523929888]
防衛後のバックドアモデルの特徴を再検討する。
既存の訓練後防衛戦略から派生した防衛モデルには,元のバックドアが現存していることが判明した。
我々は,これらの休眠バックドアを推論中に簡単に再活性化できることを実証的に示す。
論文 参考訳(メタデータ) (2024-05-25T08:57:30Z) - Mitigating Backdoor Attack by Injecting Proactive Defensive Backdoor [63.84477483795964]
データ中毒のバックドア攻撃は、機械学習モデルにとって深刻なセキュリティ上の脅威である。
本稿では,トレーニング中のバックドアディフェンスに着目し,データセットが有害になりうる場合でもクリーンなモデルをトレーニングすることを目的とした。
PDB(Proactive Defensive Backdoor)と呼ばれる新しい防衛手法を提案する。
論文 参考訳(メタデータ) (2024-05-25T07:52:26Z) - BadCLIP: Dual-Embedding Guided Backdoor Attack on Multimodal Contrastive
Learning [85.2564206440109]
本報告では,防衛後においてもバックドア攻撃が有効であり続けるという現実的なシナリオにおける脅威を明らかにする。
バックドア検出や細調整防御のモデル化に抵抗性のあるemphtoolnsアタックを導入する。
論文 参考訳(メタデータ) (2023-11-20T02:21:49Z) - Rethinking Backdoor Attacks [122.1008188058615]
バックドア攻撃では、悪意ある構築されたバックドアの例をトレーニングセットに挿入し、結果のモデルを操作に脆弱にする。
このような攻撃に対する防御は、典型的には、これらの挿入された例をトレーニングセットの外れ値として見ることと、堅牢な統計からのテクニックを使用してそれらを検出し、削除することである。
トレーニングデータ分布に関する構造情報がなければ,バックドア攻撃は自然に発生するデータの特徴と区別できないことを示す。
論文 参考訳(メタデータ) (2023-07-19T17:44:54Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Backdoor Defense via Deconfounded Representation Learning [17.28760299048368]
我々は、信頼性の高い分類のための非定型表現を学ぶために、因果性に着想を得たバックドアディフェンス(CBD)を提案する。
CBDは、良性サンプルの予測において高い精度を維持しながら、バックドアの脅威を減らすのに有効である。
論文 参考訳(メタデータ) (2023-03-13T02:25:59Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - On the Effectiveness of Adversarial Training against Backdoor Attacks [111.8963365326168]
バックドアモデルは、事前に定義されたトリガーパターンが存在する場合、常にターゲットクラスを予測する。
一般的には、敵の訓練はバックドア攻撃に対する防御であると信じられている。
本稿では,様々なバックドア攻撃に対して良好な堅牢性を提供するハイブリッド戦略を提案する。
論文 参考訳(メタデータ) (2022-02-22T02:24:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。