論文の概要: Marksman Backdoor: Backdoor Attacks with Arbitrary Target Class
- arxiv url: http://arxiv.org/abs/2210.09194v1
- Date: Mon, 17 Oct 2022 15:46:57 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-18 21:17:46.783730
- Title: Marksman Backdoor: Backdoor Attacks with Arbitrary Target Class
- Title(参考訳): マークスマンバックドア:任意のターゲットクラスによるバックドア攻撃
- Authors: Khoa D. Doan, Yingjie Lao, Ping Li
- Abstract要約: 近年、機械学習モデルはバックドア攻撃に弱いことが示されている。
この論文は、マークスマン(Marksman)と呼ばれるより強力なペイロードを持つ、新しいバックドア攻撃を利用する。
提案するフレームワークは,複数のベンチマークデータセットにおいてクリーンデータ性能を維持しつつ,高い攻撃性能を実現することを実証的に示す。
- 参考スコア(独自算出の注目度): 17.391987602738606
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In recent years, machine learning models have been shown to be vulnerable to
backdoor attacks. Under such attacks, an adversary embeds a stealthy backdoor
into the trained model such that the compromised models will behave normally on
clean inputs but will misclassify according to the adversary's control on
maliciously constructed input with a trigger. While these existing attacks are
very effective, the adversary's capability is limited: given an input, these
attacks can only cause the model to misclassify toward a single pre-defined or
target class. In contrast, this paper exploits a novel backdoor attack with a
much more powerful payload, denoted as Marksman, where the adversary can
arbitrarily choose which target class the model will misclassify given any
input during inference. To achieve this goal, we propose to represent the
trigger function as a class-conditional generative model and to inject the
backdoor in a constrained optimization framework, where the trigger function
learns to generate an optimal trigger pattern to attack any target class at
will while simultaneously embedding this generative backdoor into the trained
model. Given the learned trigger-generation function, during inference, the
adversary can specify an arbitrary backdoor attack target class, and an
appropriate trigger causing the model to classify toward this target class is
created accordingly. We show empirically that the proposed framework achieves
high attack performance while preserving the clean-data performance in several
benchmark datasets, including MNIST, CIFAR10, GTSRB, and TinyImageNet. The
proposed Marksman backdoor attack can also easily bypass existing backdoor
defenses that were originally designed against backdoor attacks with a single
target class. Our work takes another significant step toward understanding the
extensive risks of backdoor attacks in practice.
- Abstract(参考訳): 近年、機械学習モデルはバックドア攻撃に対して脆弱であることが示されている。
このような攻撃の下で、敵は訓練されたモデルにステルスなバックドアを埋め込み、妥協したモデルは通常クリーンな入力で振る舞うが、引き金で悪意ある構築された入力に対する敵の制御に従って分類される。
これらの既存の攻撃は、非常に効果的であるが、敵の能力は限られている: 入力が与えられた場合、これらの攻撃は、モデルが単一の事前定義されたまたはターゲットクラスに誤分類されるだけである。
対照的に,本論文では,マークスマン(Marksman)という,より強力なペイロードを持つ新たなバックドア攻撃を利用して,モデルが推論中に入力を誤って分類するターゲットクラスを任意に選択することができる。
この目的を達成するために、我々は、トリガー関数をクラス条件生成モデルとして表現し、制約付き最適化フレームワークでバックドアを注入することを提案し、そこで、トリガー関数は、任意のターゲットクラスを任意に攻撃し、同時に生成したバックドアをトレーニングされたモデルに埋め込みながら、最適なトリガーパターンを生成することを学習する。
学習されたトリガ生成関数が推論中、敵は任意のバックドア攻撃対象クラスを指定でき、モデルがターゲットクラスに向かって分類される適切なトリガが生成される。
提案フレームワークは,MNIST, CIFAR10, GTSRB, TinyImageNetなど,複数のベンチマークデータセットにおいてクリーンデータ性能を維持しつつ,高い攻撃性能を実現することを実証的に示す。
提案されたマークスマンバックドア攻撃は、当初1つのターゲットクラスでバックドア攻撃用に設計された既存のバックドア防御をバイパスすることもできます。
我々の研究は、実践におけるバックドア攻撃の広範なリスクを理解するための重要な一歩を踏み出した。
関連論文リスト
- NoiseAttack: An Evasive Sample-Specific Multi-Targeted Backdoor Attack Through White Gaussian Noise [0.19820694575112383]
ディープラーニング開発にサードパーティのデータを使用する場合、バックドア攻撃は重大な脅威となる。
我々は,新しいサンプル特異的なマルチターゲットバックドアアタック,すなわちNossAttackを紹介した。
この作業は、複数のターゲットクラスを生成する目的でビジョンバックドアアタックを起動する、この種の最初のものだ。
論文 参考訳(メタデータ) (2024-09-03T19:24:46Z) - Dual Model Replacement:invisible Multi-target Backdoor Attack based on Federal Learning [21.600003684064706]
本稿では,フェデレート学習に基づくバックドア攻撃手法を設計する。
バックドアトリガの隠蔽を目的としたエンコーダデコーダ構造を備えたトロイジャンガンステガノグラフィーモデルが設計されている。
フェデレート学習に基づく二重モデル置換バックドア攻撃アルゴリズムを設計する。
論文 参考訳(メタデータ) (2024-04-22T07:44:02Z) - BadCLIP: Dual-Embedding Guided Backdoor Attack on Multimodal Contrastive
Learning [85.2564206440109]
本報告では,防衛後においてもバックドア攻撃が有効であり続けるという現実的なシナリオにおける脅威を明らかにする。
バックドア検出や細調整防御のモデル化に抵抗性のあるemphtoolnsアタックを導入する。
論文 参考訳(メタデータ) (2023-11-20T02:21:49Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - M-to-N Backdoor Paradigm: A Multi-Trigger and Multi-Target Attack to Deep Learning Models [17.699749361475774]
我々は新たな$M$-to-$N$攻撃パラダイムを提案し、攻撃者が任意の入力を操作してターゲットクラスを攻撃できるようにする。
我々の攻撃は、ターゲットクラスごとに$M$のクリーンイメージをトリガーとして選択し、提案した有毒画像生成フレームワークを活用する。
我々の新たなバックドア攻撃は、複数のターゲットクラスを攻撃し、前処理操作や既存の防御に対して堅牢である。
論文 参考訳(メタデータ) (2022-11-03T15:06:50Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Narcissus: A Practical Clean-Label Backdoor Attack with Limited
Information [22.98039177091884]
クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。
本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。
私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
論文 参考訳(メタデータ) (2022-04-11T16:58:04Z) - On the Effectiveness of Adversarial Training against Backdoor Attacks [111.8963365326168]
バックドアモデルは、事前に定義されたトリガーパターンが存在する場合、常にターゲットクラスを予測する。
一般的には、敵の訓練はバックドア攻撃に対する防御であると信じられている。
本稿では,様々なバックドア攻撃に対して良好な堅牢性を提供するハイブリッド戦略を提案する。
論文 参考訳(メタデータ) (2022-02-22T02:24:46Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - Backdoor Attacks on Federated Meta-Learning [0.225596179391365]
我々は,バックドア攻撃によるメタラーニングの効果を分析した。
本稿では,その特徴の類似性から入力のクラスが予測されるネットワークに触発された防御機構を提案する。
論文 参考訳(メタデータ) (2020-06-12T09:23:24Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。