論文の概要: CorruptEncoder: Data Poisoning based Backdoor Attacks to Contrastive
Learning
- arxiv url: http://arxiv.org/abs/2211.08229v1
- Date: Tue, 15 Nov 2022 15:48:28 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-16 14:17:46.414382
- Title: CorruptEncoder: Data Poisoning based Backdoor Attacks to Contrastive
Learning
- Title(参考訳): CorruptEncoder: コントラスト学習のためのデータポリシベースのバックドアアタック
- Authors: Jinghuai Zhang and Hongbin Liu and Jinyuan Jia and Neil Zhenqiang Gong
- Abstract要約: コントラスト学習は、ラベル付き事前学習データセットを使用して汎用エンコーダを訓練する。
事前学習データセットは、画像(シングルモーダルCLと呼ばれる)または画像-テキストペア(マルチモーダルCLと呼ばれる)で構成される
CLはデータ中毒ベースのバックドアアタック(DPBA)に脆弱である
- 参考スコア(独自算出の注目度): 63.856775129680486
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Contrastive learning (CL) pre-trains general-purpose encoders using an
unlabeled pre-training dataset, which consists of images (called single-modal
CL) or image-text pairs (called multi-modal CL). CL is vulnerable to data
poisoning based backdoor attacks (DPBAs), in which an attacker injects poisoned
inputs into the pre-training dataset so the encoder is backdoored. However,
existing DPBAs achieve limited effectiveness. In this work, we propose new
DPBAs called CorruptEncoder to CL. Our experiments show that CorruptEncoder
substantially outperforms existing DPBAs for both single-modal and multi-modal
CL. CorruptEncoder is the first DPBA that achieves more than 90% attack success
rates on single-modal CL with only a few (3) reference images and a small
poisoning ratio (0.5%). Moreover, we also propose a defense, called localized
cropping, to defend single-modal CL against DPBAs. Our results show that our
defense can reduce the effectiveness of DPBAs, but it sacrifices the utility of
the encoder, highlighting the needs of new defenses.
- Abstract(参考訳): コントラスト学習(CL)は、イメージ(シングルモーダルCL)またはイメージテキストペア(マルチモーダルCL)で構成されるラベル付き事前トレーニングデータセットを使用して、汎用エンコーダを事前訓練する。
clはデータ中毒ベースのバックドア攻撃(dpbas)に対して脆弱であり、攻撃者はプリトレーニングデータセットに毒入り入力を注入し、エンコーダはバックドアされる。
しかし,既存のDPBAは有効性に限界がある。
本研究では,CorruptEncoder と呼ばれる新しいDPBAをCLに提案する。
実験の結果,CorruptEncoderはシングルモーダルCLとマルチモーダルCLの両方でDPBAを大幅に上回っていることがわかった。
CorruptEncoderは最初のDPBAであり、わずかに(3)参照画像と0.5%の小さな中毒率で、シングルモーダルCLの攻撃成功率を90%以上達成している。
また,DPBAに対する単一モードCLの防御を目的とした局所的収穫法を提案する。
我々の防衛はDPBAの有効性を低下させるが,エンコーダの実用性を犠牲にし,新たな防衛の必要性を浮き彫りにする。
関連論文リスト
- Does Differential Privacy Prevent Backdoor Attacks in Practice? [8.951356689083166]
機械学習モデルにおけるバックドア攻撃防止における差分プライバシー手法の有効性について検討する。
本稿では,DP-SGD と PATE の高速かつ高精度な代替手段として Label-DP を提案する。
論文 参考訳(メタデータ) (2023-11-10T18:32:08Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Defending against Insertion-based Textual Backdoor Attacks via
Attribution [18.935041122443675]
本稿では,2つの挿入型毒殺攻撃を防ぎ,効果的な帰属型パイプラインであるAttDefを提案する。
具体的には、より大きな帰属語が誤予測結果に寄与するため、より大きな帰属スコアを持つトークンを潜在的トリガーとみなす。
提案手法は2つの共通攻撃シナリオにおいて十分に一般化可能であることを示す。
論文 参考訳(メタデータ) (2023-05-03T19:29:26Z) - Backdoor Defense via Deconfounded Representation Learning [17.28760299048368]
我々は、信頼性の高い分類のための非定型表現を学ぶために、因果性に着想を得たバックドアディフェンス(CBD)を提案する。
CBDは、良性サンプルの予測において高い精度を維持しながら、バックドアの脅威を減らすのに有効である。
論文 参考訳(メタデータ) (2023-03-13T02:25:59Z) - PoisonedEncoder: Poisoning the Unlabeled Pre-training Data in
Contrastive Learning [69.70602220716718]
コントラスト学習のためのデータ中毒攻撃であるPoisonedEncoderを提案する。
特に、攻撃者は未ラベルの事前訓練データに慎重に毒を盛った入力を注入する。
我々は,PoisonedEncoderに対する5つの防御効果を評価し,前処理が1つ,内処理が3つ,後処理が1つであった。
論文 参考訳(メタデータ) (2022-05-13T00:15:44Z) - Model-Contrastive Learning for Backdoor Defense [13.781375023320981]
モデル・コントラスト学習に基づく新しいバックドア・ディフェンス手法 MCL を提案する。
MCLは、良質なデータの高い精度を維持しながら、バックドアの脅威を減らすのに効果的である。
論文 参考訳(メタデータ) (2022-05-09T16:36:46Z) - Backdoor Attack on Hash-based Image Retrieval via Clean-label Data
Poisoning [54.15013757920703]
混乱性摂動誘発性バックドアアタック(CIBA)を提案する。
トレーニングデータに、正しいラベルで少量の有毒画像を注入する。
提案したCIBAの有効性を検証するための広範な実験を行った。
論文 参考訳(メタデータ) (2021-09-18T07:56:59Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations [54.960853673256]
混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
論文 参考訳(メタデータ) (2021-03-02T23:07:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。