論文の概要: CorruptEncoder: Data Poisoning based Backdoor Attacks to Contrastive
Learning
- arxiv url: http://arxiv.org/abs/2211.08229v5
- Date: Thu, 29 Feb 2024 21:26:45 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-04 14:49:46.294031
- Title: CorruptEncoder: Data Poisoning based Backdoor Attacks to Contrastive
Learning
- Title(参考訳): CorruptEncoder: コントラスト学習のためのデータポリシベースのバックドアアタック
- Authors: Jinghuai Zhang and Hongbin Liu and Jinyuan Jia and Neil Zhenqiang Gong
- Abstract要約: コントラスト学習は、ラベル付き事前学習データセットを使用して汎用エンコーダを訓練する。
DPBAはトレーニング前のデータセットに有毒な入力を注入してエンコーダをバックドアにする。
CorruptEncoderは、有毒な入力を生成するための新しい攻撃戦略を導入し、攻撃効率を最大化するために理論誘導方式を使用している。
我々の防衛はDPBAの有効性を低下させるが,エンコーダの実用性を犠牲にし,新たな防衛の必要性を浮き彫りにしている。
- 参考スコア(独自算出の注目度): 71.25518220297639
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Contrastive learning (CL) pre-trains general-purpose encoders using an
unlabeled pre-training dataset, which consists of images or image-text pairs.
CL is vulnerable to data poisoning based backdoor attacks (DPBAs), in which an
attacker injects poisoned inputs into the pre-training dataset so the encoder
is backdoored. However, existing DPBAs achieve limited effectiveness. In this
work, we take the first step to analyze the limitations of existing backdoor
attacks and propose new DPBAs called CorruptEncoder to CL. CorruptEncoder
introduces a new attack strategy to create poisoned inputs and uses a
theory-guided method to maximize attack effectiveness. Our experiments show
that CorruptEncoder substantially outperforms existing DPBAs. In particular,
CorruptEncoder is the first DPBA that achieves more than 90% attack success
rates with only a few (3) reference images and a small poisoning ratio 0.5%.
Moreover, we also propose a defense, called localized cropping, to defend
against DPBAs. Our results show that our defense can reduce the effectiveness
of DPBAs, but it sacrifices the utility of the encoder, highlighting the need
for new defenses.
- Abstract(参考訳): コントラスト学習(cl)は、画像または画像テキストペアからなるラベルなし事前学習データセットを使用して、汎用エンコーダを事前学習する。
clはデータ中毒ベースのバックドア攻撃(dpbas)に対して脆弱であり、攻撃者はプリトレーニングデータセットに毒入り入力を注入し、エンコーダはバックドアされる。
しかし,既存のDPBAは有効性に限界がある。
本研究では,既存のバックドア攻撃の限界を分析し,CorruptEncoderと呼ばれる新しいDPBAをCLに提案する。
rotencoderは毒入り入力を作成するための新しい攻撃戦略を導入し、攻撃効果を最大化するために理論に導かれた方法を使用する。
実験の結果,CorruptEncoderは既存のDPBAよりも大幅に優れていた。
特に腐ったエンコーダーは、90%以上の攻撃成功率を達成できた最初のdpbaであり、参照画像は数箇所のみであり、少量の中毒率は0.5%である。
さらに,dpbasに対する防御策として,局所クロッピング(localized cropping)を提案する。
我々の防衛はDPBAの有効性を低下させるが,エンコーダの実用性を犠牲にし,新たな防衛の必要性を浮き彫りにしている。
関連論文リスト
- Does Differential Privacy Prevent Backdoor Attacks in Practice? [8.951356689083166]
機械学習モデルにおけるバックドア攻撃防止における差分プライバシー手法の有効性について検討する。
本稿では,DP-SGD と PATE の高速かつ高精度な代替手段として Label-DP を提案する。
論文 参考訳(メタデータ) (2023-11-10T18:32:08Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Defending against Insertion-based Textual Backdoor Attacks via
Attribution [18.935041122443675]
本稿では,2つの挿入型毒殺攻撃を防ぎ,効果的な帰属型パイプラインであるAttDefを提案する。
具体的には、より大きな帰属語が誤予測結果に寄与するため、より大きな帰属スコアを持つトークンを潜在的トリガーとみなす。
提案手法は2つの共通攻撃シナリオにおいて十分に一般化可能であることを示す。
論文 参考訳(メタデータ) (2023-05-03T19:29:26Z) - Backdoor Defense via Deconfounded Representation Learning [17.28760299048368]
我々は、信頼性の高い分類のための非定型表現を学ぶために、因果性に着想を得たバックドアディフェンス(CBD)を提案する。
CBDは、良性サンプルの予測において高い精度を維持しながら、バックドアの脅威を減らすのに有効である。
論文 参考訳(メタデータ) (2023-03-13T02:25:59Z) - PoisonedEncoder: Poisoning the Unlabeled Pre-training Data in
Contrastive Learning [69.70602220716718]
コントラスト学習のためのデータ中毒攻撃であるPoisonedEncoderを提案する。
特に、攻撃者は未ラベルの事前訓練データに慎重に毒を盛った入力を注入する。
我々は,PoisonedEncoderに対する5つの防御効果を評価し,前処理が1つ,内処理が3つ,後処理が1つであった。
論文 参考訳(メタデータ) (2022-05-13T00:15:44Z) - Model-Contrastive Learning for Backdoor Defense [13.781375023320981]
モデル・コントラスト学習に基づく新しいバックドア・ディフェンス手法 MCL を提案する。
MCLは、良質なデータの高い精度を維持しながら、バックドアの脅威を減らすのに効果的である。
論文 参考訳(メタデータ) (2022-05-09T16:36:46Z) - Backdoor Attack on Hash-based Image Retrieval via Clean-label Data
Poisoning [54.15013757920703]
混乱性摂動誘発性バックドアアタック(CIBA)を提案する。
トレーニングデータに、正しいラベルで少量の有毒画像を注入する。
提案したCIBAの有効性を検証するための広範な実験を行った。
論文 参考訳(メタデータ) (2021-09-18T07:56:59Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations [54.960853673256]
混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
論文 参考訳(メタデータ) (2021-03-02T23:07:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。