論文の概要: Game of Trojans: A Submodular Byzantine Approach
- arxiv url: http://arxiv.org/abs/2207.05937v1
- Date: Wed, 13 Jul 2022 03:12:26 GMT
- ステータス: 処理完了
- システム内更新日: 2022-07-15 03:19:47.127561
- Title: Game of Trojans: A Submodular Byzantine Approach
- Title(参考訳): Game of Trojans: サブモジュールのビザンチンアプローチ
- Authors: Dinuka Sahabandu, Arezoo Rajabi, Luyao Niu, Bo Li, Bhaskar
Ramasubramanian, Radha Poovendran
- Abstract要約: 本稿では,敵の能力と敵と検出機構の戦略的相互作用の分析的特徴について述べる。
サブモジュラートロイの木馬アルゴリズムを用いて,トロイの木馬のトリガを注入するサンプルを最小限に決定する。
対戦相手が確率1でゲームに勝つことを示し、検出をバイパスする。
- 参考スコア(独自算出の注目度): 9.512062990461212
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Machine learning models in the wild have been shown to be vulnerable to
Trojan attacks during training. Although many detection mechanisms have been
proposed, strong adaptive attackers have been shown to be effective against
them. In this paper, we aim to answer the questions considering an intelligent
and adaptive adversary: (i) What is the minimal amount of instances required to
be Trojaned by a strong attacker? and (ii) Is it possible for such an attacker
to bypass strong detection mechanisms?
We provide an analytical characterization of adversarial capability and
strategic interactions between the adversary and detection mechanism that take
place in such models. We characterize adversary capability in terms of the
fraction of the input dataset that can be embedded with a Trojan trigger. We
show that the loss function has a submodular structure, which leads to the
design of computationally efficient algorithms to determine this fraction with
provable bounds on optimality. We propose a Submodular Trojan algorithm to
determine the minimal fraction of samples to inject a Trojan trigger. To evade
detection of the Trojaned model, we model strategic interactions between the
adversary and Trojan detection mechanism as a two-player game. We show that the
adversary wins the game with probability one, thus bypassing detection. We
establish this by proving that output probability distributions of a Trojan
model and a clean model are identical when following the Min-Max (MM) Trojan
algorithm.
We perform extensive evaluations of our algorithms on MNIST, CIFAR-10, and
EuroSAT datasets. The results show that (i) with Submodular Trojan algorithm,
the adversary needs to embed a Trojan trigger into a very small fraction of
samples to achieve high accuracy on both Trojan and clean samples, and (ii) the
MM Trojan algorithm yields a trained Trojan model that evades detection with
probability 1.
- Abstract(参考訳): 野生の機械学習モデルは、トレーニング中にトロイの木馬攻撃に弱いことが示されている。
多くの検出機構が提案されているが、強い適応攻撃はそれらに対して有効であることが示されている。
本稿では,知的かつ適応的な相手を考慮した質問に答えることを目的とする。
(i)強力な攻撃者によってトロイの木馬に要求される最小のインスタンス量は?
そして
(ii)そのような攻撃者が強い検知機構をバイパスすることは可能か?
このようなモデルで発生する敵と検出メカニズム間の敵の能力と戦略的相互作用の分析的特徴を提供する。
我々は、トロイの木馬トリガーで埋め込むことができる入力データセットの分数の観点から、敵の能力を特徴づける。
損失関数は部分モジュラ構造を持ち、最適性の証明可能な境界でこの分数を決定する計算効率の良いアルゴリズムの設計につながることを示す。
トロイの木馬トリガーを注入するサンプルの最小割合を決定するためのサブモジュララートロイの木馬アルゴリズムを提案する。
トロイの木馬モデルの検出を避けるため,対戦相手とトロイの木馬検出機構間の戦略的相互作用を2人プレイゲームとしてモデル化する。
対戦相手が確率1でゲームに勝つことを示し、検出をバイパスする。
我々は、Min-Max(MM)トロイの木馬アルゴリズムに従えば、トロイの木馬モデルとクリーンモデルの出力確率分布が同一であることを証明する。
我々は、MNIST、CIFAR-10、EuroSATデータセット上でアルゴリズムの広範な評価を行う。
その結果は
(i)サブモジュラートロイの木馬アルゴリズムでは、トロイの木馬のトリガーをごくわずかなサンプルに埋め込んで、トロイの木馬とクリーンなサンプルの両方で高い精度を達成する必要がある。
(ii)MMトロイの木馬アルゴリズムは,確率1で検出を回避する訓練されたトロイの木馬モデルを生成する。
関連論文リスト
- Quarantine: Sparsity Can Uncover the Trojan Attack Trigger for Free [126.15842954405929]
トロイの木馬攻撃はディープニューラルネットワーク(DNN)を脅かし、ほとんどのサンプルで正常に動作させるが、トリガーを付けた入力に対して操作された結果を生成する。
そこで我々は,まず,クリーンな入力において,ほぼ完全なトロイの木馬の情報のみを保存し,かつ,すでに孤立しているサブネットワークに埋め込まれたトリガを復元する,新しいトロイの木馬ネットワーク検出方式を提案する。
論文 参考訳(メタデータ) (2022-05-24T06:33:31Z) - Trojan Horse Training for Breaking Defenses against Backdoor Attacks in
Deep Learning [7.3007220721129364]
バックドアを含むMLモデルは、トロイの木馬モデルと呼ばれる。
現在のシングルターゲットバックドア攻撃では、ターゲットクラス毎に1つのトリガーが必要である。
我々は、単一のトリガが複数のターゲットクラスに誤分類をもたらすような、より一般的な新しい攻撃を導入する。
論文 参考訳(メタデータ) (2022-03-25T02:54:27Z) - CatchBackdoor: Backdoor Detection via Critical Trojan Neural Path Fuzzing [16.44147178061005]
様々なトロイの木馬攻撃によって引き起こされる トロイの木馬の行動は トロイの木馬の道のせいだ
トロイの木馬攻撃に対する検出手法であるCatchBackdoorを提案する。
論文 参考訳(メタデータ) (2021-12-24T13:57:03Z) - A Synergetic Attack against Neural Network Classifiers combining
Backdoor and Adversarial Examples [11.534521802321976]
AdvTrojanと呼ばれる新たなステルス攻撃を実際に開始するために、敵の摂動と毒殺の脆弱性を共同で活用する方法を示します。
AdvTrojan は、(1) 慎重に製作された逆方向の摂動を推論中に入力例に注入し、2) モデルの訓練過程中にトロイの木戸を埋め込んだ場合にのみ起動できるため、ステルス性が高い。
論文 参考訳(メタデータ) (2021-09-03T02:18:57Z) - Practical Detection of Trojan Neural Networks: Data-Limited and
Data-Free Cases [87.69818690239627]
本稿では,データスカース方式におけるトロイの木馬ネットワーク(トロイの木馬網)検出の問題点について検討する。
本稿では,データ限定型TrojanNet検出器(TND)を提案する。
さらに,データサンプルにアクセスせずにTrojanNetを検出できるデータフリーTNDを提案する。
論文 参考訳(メタデータ) (2020-07-31T02:00:38Z) - Cassandra: Detecting Trojaned Networks from Adversarial Perturbations [92.43879594465422]
多くの場合、事前トレーニングされたモデルは、トロイの木馬の振る舞いをモデルに挿入するためにトレーニングパイプラインを中断したかもしれないベンダーから派生している。
本稿では,事前学習したモデルがトロイの木馬か良馬かを検証する手法を提案する。
本手法は,ニューラルネットワークの指紋を,ネットワーク勾配から学習した逆方向の摂動の形でキャプチャする。
論文 参考訳(メタデータ) (2020-07-28T19:00:40Z) - Odyssey: Creation, Analysis and Detection of Trojan Models [91.13959405645959]
トロイの木馬攻撃は、一部のトレーニングサンプルにトリガーを挿入してトレーニングパイプラインを妨害し、トリガーを含むサンプルに対してのみ悪意ある動作をするようにモデルを訓練する。
既存のトロイの木馬検出器はトリガーの種類や攻撃について強い仮定をしている。
そこで本研究では,トロヤニング過程の影響を受け,本質的特性の分析に基づく検出器を提案する。
論文 参考訳(メタデータ) (2020-07-16T06:55:00Z) - An Embarrassingly Simple Approach for Trojan Attack in Deep Neural
Networks [59.42357806777537]
トロイの木馬攻撃は、ハッカーが挿入した隠れトリガーパターンに依存する、デプロイされたディープニューラルネットワーク(DNN)を攻撃することを目的としている。
そこで本研究では,有毒データセットの再学習モデルによりトロイの木馬の挙動を注入する,従来と異なる学習自由攻撃手法を提案する。
提案したTrojanNetには,(1)小さなトリガパターンによって起動し,他の信号に対してサイレントを維持する,(2)モデルに依存しない,ほとんどのDNNに注入可能な,(3)攻撃シナリオを劇的に拡張する,(3)訓練不要のメカニズムは従来のトロイの木馬攻撃方法と比較して大規模なトレーニング作業の削減など,いくつかの優れた特性がある。
論文 参考訳(メタデータ) (2020-06-15T04:58:28Z) - Scalable Backdoor Detection in Neural Networks [61.39635364047679]
ディープラーニングモデルは、トロイの木馬攻撃に対して脆弱で、攻撃者はトレーニング中にバックドアをインストールして、結果のモデルが小さなトリガーパッチで汚染されたサンプルを誤識別させる。
本稿では,ラベル数と計算複雑性が一致しない新たなトリガリバースエンジニアリング手法を提案する。
実験では,提案手法が純モデルからトロイの木馬モデルを分離する際の完全なスコアを達成できることが観察された。
論文 参考訳(メタデータ) (2020-06-10T04:12:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。