論文の概要: TrojViT: Trojan Insertion in Vision Transformers
- arxiv url: http://arxiv.org/abs/2208.13049v4
- Date: Thu, 14 Sep 2023 14:54:04 GMT
- ステータス: 処理完了
- システム内更新日: 2023-09-15 19:51:49.555691
- Title: TrojViT: Trojan Insertion in Vision Transformers
- Title(参考訳): TrojViT:ビジョントランスフォーマーのトロイの木馬導入
- Authors: Mengxin Zheng, Qian Lou, Lei Jiang
- Abstract要約: 視覚変換器(ViT)は、様々な視覚関連タスクにおける最先端の性能を実証している。
本稿では,ステルスで実用的なViT固有のバックドアアタックであるTrojViT$を提案する。
我々は、TrojViTがターゲットクラスに99.64%のテストイメージを分類できることを示す。
- 参考スコア(独自算出の注目度): 16.86004410531673
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Vision Transformers (ViTs) have demonstrated the state-of-the-art performance
in various vision-related tasks. The success of ViTs motivates adversaries to
perform backdoor attacks on ViTs. Although the vulnerability of traditional
CNNs to backdoor attacks is well-known, backdoor attacks on ViTs are
seldom-studied. Compared to CNNs capturing pixel-wise local features by
convolutions, ViTs extract global context information through patches and
attentions. Na\"ively transplanting CNN-specific backdoor attacks to ViTs
yields only a low clean data accuracy and a low attack success rate. In this
paper, we propose a stealth and practical ViT-specific backdoor attack
$TrojViT$. Rather than an area-wise trigger used by CNN-specific backdoor
attacks, TrojViT generates a patch-wise trigger designed to build a Trojan
composed of some vulnerable bits on the parameters of a ViT stored in DRAM
memory through patch salience ranking and attention-target loss. TrojViT
further uses minimum-tuned parameter update to reduce the bit number of the
Trojan. Once the attacker inserts the Trojan into the ViT model by flipping the
vulnerable bits, the ViT model still produces normal inference accuracy with
benign inputs. But when the attacker embeds a trigger into an input, the ViT
model is forced to classify the input to a predefined target class. We show
that flipping only few vulnerable bits identified by TrojViT on a ViT model
using the well-known RowHammer can transform the model into a backdoored one.
We perform extensive experiments of multiple datasets on various ViT models.
TrojViT can classify $99.64\%$ of test images to a target class by flipping
$345$ bits on a ViT for ImageNet.Our codes are available at
https://github.com/mxzheng/TrojViT
- Abstract(参考訳): 視覚変換器(ViT)は様々な視覚関連タスクにおける最先端の性能を実証している。
ViTsの成功は、敵がViTsに対するバックドア攻撃を行う動機となっている。
バックドア攻撃に対する従来のCNNの脆弱性はよく知られているが、ViTに対するバックドア攻撃はほとんど研究されていない。
コンボリューションによってピクセルワイドなローカル特徴をキャプチャするCNNと比較して、ViTはパッチやアテンションを通じてグローバルなコンテキスト情報を抽出する。
確実にCNN固有のバックドア攻撃をViTに移植すると、クリーンなデータの精度が低く、攻撃の成功率が低いだけになる。
本稿では,vit特有のバックドア攻撃である$trojvit$を提案する。
CNN固有のバックドア攻撃で使用されるエリアワイドトリガーではなく、TrojViTはパッチサリエンスランキングとアテンションターゲット損失によってDRAMメモリに格納されたViTのパラメータにいくつかの脆弱なビットからなるトロイの木馬を構築するために設計されたパッチワイドトリガーを生成する。
trojvitはさらに最小調整パラメータ更新を使用して、トロイの木馬のビット数を削減する。
攻撃者が脆弱なビットを反転させてトロイの木馬をViTモデルに挿入すると、ViTモデルはベニグインプットで正常な推論精度が生成される。
しかし、攻撃者がインプットにトリガーを埋め込むと、vitモデルは入力を予め定義されたターゲットクラスに分類せざるを得なくなる。
有名なrowhammerを用いてvitモデル上でtroyvitが識別する脆弱なビットをフリップするだけで、モデルがバックドア付きに変換できることを示す。
様々なViTモデル上で複数のデータセットの広範な実験を行う。
trojvitは、テストイメージの99.64\%$を、imagenet用のvit上で345ドルのビットをフリップすることでターゲットクラスに分類できる。
関連論文リスト
- Using Interleaved Ensemble Unlearning to Keep Backdoors at Bay for Finetuning Vision Transformers [0.0]
ビジョントランスフォーマー(ViT)はコンピュータビジョンタスクで人気を博している。
推論中のモデルで望ましくない振る舞いを引き起こすバックドア攻撃は、ViTのパフォーマンスを脅かす。
バックドアデータセット上でクリーンなViTを微調整するInterleaved Ensemble Unlearning(IEU)を提案する。
論文 参考訳(メタデータ) (2024-10-01T23:33:59Z) - Query-Efficient Hard-Label Black-Box Attack against Vision Transformers [9.086983253339069]
ビジョントランスフォーマー(ViT)は、ディープ畳み込みニューラルネットワーク(CNN)として敵対的攻撃から同様のセキュリティリスクに直面している
本稿では,ブラックボックスシナリオ下での敵攻撃に対するViTsの脆弱性について検討する。
本稿では,AdvViTと呼ばれる新しいクエリ効率の高いハードラベル逆攻撃手法を提案する。
論文 参考訳(メタデータ) (2024-06-29T10:09:12Z) - Hardly Perceptible Trojan Attack against Neural Networks with Bit Flips [51.17948837118876]
ほとんど知覚できないトロイア攻撃(HPT)を呈する。
HPTは、加算ノイズと画素あたりのフロー場を利用して、知覚しにくいトロイの木像を作成する。
より優れた攻撃性能を達成するために,ビットフリップ,付加雑音,流れ場を協調的に最適化することを提案する。
論文 参考訳(メタデータ) (2022-07-27T09:56:17Z) - Self-Distilled Vision Transformer for Domain Generalization [58.76055100157651]
ビジョントランスフォーマー(ViT)は、標準ベンチマークにおけるCNNの優位性に挑戦している。
本稿では,ViTの自己蒸留法として考案された簡易なDG手法を提案する。
5つの挑戦的なデータセットにおいて、異なるDGベースラインと様々なViTバックボーンによる顕著なパフォーマンス向上を実証的に示す。
論文 参考訳(メタデータ) (2022-07-25T17:57:05Z) - Defending Backdoor Attacks on Vision Transformer via Patch Processing [18.50522247164383]
ViT(Vision Transformers)は、畳み込みニューラルネットワークよりもはるかに少ない帰納バイアスを持つ、根本的に異なるアーキテクチャである。
本稿では,バックドア攻撃(バックドア攻撃)の代表的因果攻撃について検討する。
本稿では,パッチベースとブレンディングベースの両方で,パッチ処理によるバックドア攻撃を効果的に防御する手法を提案する。
論文 参考訳(メタデータ) (2022-06-24T17:29:47Z) - Backdoor Attacks on Vision Transformers [20.561738561479203]
ビジュアルトランスフォーマー(ViT)はバックドア攻撃に対して脆弱であることを示す。
本稿では,ViTの攻撃成功率を大きなマージンで低減するテストタイム・イメージ・ブロッキング・ディフェンスを提案する。
論文 参考訳(メタデータ) (2022-06-16T22:55:32Z) - Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。
学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。
我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
論文 参考訳(メタデータ) (2022-01-31T12:38:58Z) - Self-slimmed Vision Transformer [52.67243496139175]
視覚変換器(ViT)は、様々な視覚タスクにおいて一般的な構造となり、CNN(Creative Convolutional Neural Network)よりも優れています。
本稿では,バニラVT,すなわちSiTに対する汎用的な自己スリム学習手法を提案する。
具体的には、まず、ViTの推論効率を向上させる新しいToken Slimming Module (TSM) を設計する。
論文 参考訳(メタデータ) (2021-11-24T16:48:57Z) - Towards Transferable Adversarial Attacks on Vision Transformers [110.55845478440807]
視覚変換器(ViT)は、コンピュータビジョンの一連のタスクにおいて印象的なパフォーマンスを示してきたが、それでも敵の例に悩まされている。
本稿では、PNA攻撃とPatchOut攻撃を含むデュアルアタックフレームワークを導入し、異なるViT間での対向サンプルの転送性を改善する。
論文 参考訳(メタデータ) (2021-09-09T11:28:25Z) - On Improving Adversarial Transferability of Vision Transformers [97.17154635766578]
視覚変換器(ViT)は、入力画像を、自己注意によるパッチのシーケンスとして処理する。
本稿では,ViTモデルの対角的特徴空間とその伝達性について検討する。
本稿では,ViTモデルのアーキテクチャに特有な2つの新しい戦略を紹介する。
論文 参考訳(メタデータ) (2021-06-08T08:20:38Z) - Reveal of Vision Transformers Robustness against Adversarial Attacks [13.985121520800215]
この研究は、CNNと比較して異なる$L_p$ベースの敵攻撃に対するViT変異の堅牢性について研究する。
我々は,バニラ ViT やハイブリッド-ViT が CNN よりも堅牢であることを明らかにする分析を行った。
論文 参考訳(メタデータ) (2021-06-07T15:59:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。