論文の概要: Invisible Backdoor Attacks Using Data Poisoning in the Frequency Domain
- arxiv url: http://arxiv.org/abs/2207.04209v1
- Date: Sat, 9 Jul 2022 07:05:53 GMT
- ステータス: 処理完了
- システム内更新日: 2022-07-12 16:33:39.081358
- Title: Invisible Backdoor Attacks Using Data Poisoning in the Frequency Domain
- Title(参考訳): 周波数領域におけるデータポジショニングによる見えないバックドア攻撃
- Authors: Chang Yue, Peizhuo Lv, Ruigang Liang, Kai Chen
- Abstract要約: 周波数領域に基づく一般化されたバックドア攻撃手法を提案する。
トレーニングプロセスのミスラベルやアクセスをすることなく、バックドアのインプラントを実装できる。
我々は,3つのデータセットに対して,ラベルなし,クリーンラベルのケースにおけるアプローチを評価した。
- 参考スコア(独自算出の注目度): 8.64369418938889
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: With the broad application of deep neural networks (DNNs), backdoor attacks
have gradually attracted attention. Backdoor attacks are insidious, and
poisoned models perform well on benign samples and are only triggered when
given specific inputs, which cause the neural network to produce incorrect
outputs. The state-of-the-art backdoor attack work is implemented by data
poisoning, i.e., the attacker injects poisoned samples into the dataset, and
the models trained with that dataset are infected with the backdoor. However,
most of the triggers used in the current study are fixed patterns patched on a
small fraction of an image and are often clearly mislabeled, which is easily
detected by humans or defense methods such as Neural Cleanse and SentiNet.
Also, it's difficult to be learned by DNNs without mislabeling, as they may
ignore small patterns. In this paper, we propose a generalized backdoor attack
method based on the frequency domain, which can implement backdoor implantation
without mislabeling and accessing the training process. It is invisible to
human beings and able to evade the commonly used defense methods. We evaluate
our approach in the no-label and clean-label cases on three datasets (CIFAR-10,
STL-10, and GTSRB) with two popular scenarios (self-supervised learning and
supervised learning). The results show our approach can achieve a high attack
success rate (above 90%) on all the tasks without significant performance
degradation on main tasks. Also, we evaluate the bypass performance of our
approach for different kinds of defenses, including the detection of training
data (i.e., Activation Clustering), the preprocessing of inputs (i.e.,
Filtering), the detection of inputs (i.e., SentiNet), and the detection of
models (i.e., Neural Cleanse). The experimental results demonstrate that our
approach shows excellent robustness to such defenses.
- Abstract(参考訳): ディープニューラルネットワーク(DNN)の幅広い応用により、バックドア攻撃は徐々に注目を集めている。
バックドア攻撃は威圧的であり、毒殺されたモデルは良性サンプルで良好に動作し、特定の入力が与えられたときにのみトリガーされる。
最先端のバックドア攻撃は、データ中毒、すなわち、攻撃者がデータセットに有毒なサンプルを注入し、そのデータセットで訓練されたモデルはバックドアに感染する。
しかし、現在の研究で用いられるトリガーのほとんどは、画像のごく一部にパッチを当てた固定パターンであり、しばしば明確に誤記されるため、人間や神経洗浄やセンチネットなどの防御方法によって容易に検出される。
また、小さなパターンを無視する可能性があるため、DNNによって誤解なしに学ぶのは難しい。
本稿では,周波数領域に基づく一般的なバックドアアタック手法を提案し,トレーニングプロセスの誤ラベルやアクセスを伴わずにバックドアのインプラントを実装できる。
人間には見えず、一般的に使われる防御方法から逃れることができる。
3つのデータセット (cifar-10, stl-10, gtsrb) において, 自己教師あり学習と教師なし学習の2つの一般的なシナリオを用いて, このアプローチを評価した。
その結果,本手法は主要タスクの性能低下を伴わずにすべてのタスクにおいて高い攻撃成功率(90%以上)を達成できることがわかった。
また、トレーニングデータ(アクティベーションクラスタリング)の検出、入力の事前処理(フィルタ)、入力の検出(SentiNet)、モデルの検出(ニューラルクリーンス)など、さまざまな種類の防衛に対するアプローチのバイパス性能を評価した。
実験結果から, 本手法は防御に優れた堅牢性を示すことが示された。
関連論文リスト
- Efficient Backdoor Defense in Multimodal Contrastive Learning: A Token-Level Unlearning Method for Mitigating Threats [52.94388672185062]
本稿では,機械学習という概念を用いて,バックドアの脅威に対する効果的な防御機構を提案する。
これは、モデルがバックドアの脆弱性を迅速に学習するのを助けるために、小さな毒のサンプルを戦略的に作成することを必要とする。
バックドア・アンラーニング・プロセスでは,新しいトークン・ベースの非ラーニング・トレーニング・システムを提案する。
論文 参考訳(メタデータ) (2024-09-29T02:55:38Z) - UNIT: Backdoor Mitigation via Automated Neural Distribution Tightening [43.09750187130803]
ディープニューラルネットワーク(DNN)は様々な分野で有効性を示している。
DNNはバックドアアタックに対して脆弱で、インプットにトリガーと呼ばれるユニークなパターンを注入することで、アタック・チョーゼンターゲットラベルの誤分類を引き起こす。
本稿では, 各種攻撃に対するバックドア効果を効果的に除去する, ポストトレーニング防衛技術を紹介する。
論文 参考訳(メタデータ) (2024-07-16T04:33:05Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Backdoor Defense via Deconfounded Representation Learning [17.28760299048368]
我々は、信頼性の高い分類のための非定型表現を学ぶために、因果性に着想を得たバックドアディフェンス(CBD)を提案する。
CBDは、良性サンプルの予測において高い精度を維持しながら、バックドアの脅威を減らすのに有効である。
論文 参考訳(メタデータ) (2023-03-13T02:25:59Z) - FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases [50.065022493142116]
バックドア攻撃とも呼ばれるディープニューラルネットワークに対するトロイの木馬攻撃は、人工知能に対する典型的な脅威である。
FreeEagleは、複雑なバックドア攻撃を効果的に検出できる最初のデータフリーバックドア検出方法である。
論文 参考訳(メタデータ) (2023-02-28T11:31:29Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Backdoor Defense via Suppressing Model Shortcuts [91.30995749139012]
本稿では,モデル構造の角度からバックドア機構を探索する。
攻撃成功率 (ASR) は, キースキップ接続の出力を減少させると著しく低下することを示した。
論文 参考訳(メタデータ) (2022-11-02T15:39:19Z) - Training set cleansing of backdoor poisoning by self-supervised
representation learning [0.0]
バックドアまたはトロイの木馬攻撃は、ディープニューラルネットワーク(DNN)に対するデータ中毒攻撃の重要なタイプである
教師付きトレーニングは, バックドアパターンと関連するターゲットクラスとの間に, 通常の特徴と真の起源のクラスとの間により強い関連性を持つことが示唆された。
そこで本研究では,教師なし表現学習を用いて,バックドアポゾンによるトレーニングサンプルの強調を回避し,同じクラスのサンプルに類似した特徴埋め込みを学習することを提案する。
論文 参考訳(メタデータ) (2022-10-19T03:29:58Z) - PiDAn: A Coherence Optimization Approach for Backdoor Attack Detection
and Mitigation in Deep Neural Networks [22.900501880865658]
バックドア攻撃はディープニューラルネットワーク(DNN)に新たな脅威をもたらす
汚染されたデータを浄化するコヒーレンス最適化に基づくアルゴリズムであるPiDAnを提案する。
当社のPiDAnアルゴリズムは90%以上の感染クラスを検出でき、95%の有毒サンプルを識別できる。
論文 参考訳(メタデータ) (2022-03-17T12:37:21Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。