論文の概要: Backdoor Attacks Against Dataset Distillation
- arxiv url: http://arxiv.org/abs/2301.01197v1
- Date: Tue, 3 Jan 2023 16:58:34 GMT
- ステータス: 処理完了
- システム内更新日: 2023-01-04 15:26:13.801765
- Title: Backdoor Attacks Against Dataset Distillation
- Title(参考訳): データセット蒸留に対するバックドア攻撃
- Authors: Yugeng Liu, Zheng Li, Michael Backes, Yun Shen, Yang Zhang
- Abstract要約: 本研究は,画像領域におけるデータセット蒸留モデルにより抽出されたデータに基づいて訓練されたモデルに対して,最初のバックドア攻撃を行う。
本研究では,NAIVEATTACKとDOORPINGの2種類のバックドア攻撃を提案する。
実験的な評価では、NAIVEATTACKは攻撃成功率(ASR)をある程度達成し、DOORPINGは全てのケースでより高いASRスコア(1.0に近かった)に達する。
- 参考スコア(独自算出の注目度): 24.39067295054253
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Dataset distillation has emerged as a prominent technique to improve data
efficiency when training machine learning models. It encapsulates the knowledge
from a large dataset into a smaller synthetic dataset. A model trained on this
smaller distilled dataset can attain comparable performance to a model trained
on the original training dataset. However, the existing dataset distillation
techniques mainly aim at achieving the best trade-off between resource usage
efficiency and model utility. The security risks stemming from them have not
been explored. This study performs the first backdoor attack against the models
trained on the data distilled by dataset distillation models in the image
domain. Concretely, we inject triggers into the synthetic data during the
distillation procedure rather than during the model training stage, where all
previous attacks are performed. We propose two types of backdoor attacks,
namely NAIVEATTACK and DOORPING. NAIVEATTACK simply adds triggers to the raw
data at the initial distillation phase, while DOORPING iteratively updates the
triggers during the entire distillation procedure. We conduct extensive
evaluations on multiple datasets, architectures, and dataset distillation
techniques. Empirical evaluation shows that NAIVEATTACK achieves decent attack
success rate (ASR) scores in some cases, while DOORPING reaches higher ASR
scores (close to 1.0) in all cases. Furthermore, we conduct a comprehensive
ablation study to analyze the factors that may affect the attack performance.
Finally, we evaluate multiple defense mechanisms against our backdoor attacks
and show that our attacks can practically circumvent these defense mechanisms.
- Abstract(参考訳): データセット蒸留(dataset distillation)は、機械学習モデルのトレーニングにおいて、データ効率を改善するための顕著な技術である。
巨大なデータセットからの知識を小さな合成データセットにカプセル化する。
この小さな蒸留データセットでトレーニングされたモデルは、元のトレーニングデータセットでトレーニングされたモデルと同等のパフォーマンスを達成できます。
しかし、既存のデータセット蒸留技術は主に、資源利用効率とモデルユーティリティの最良のトレードオフを達成することを目的としている。
それらに起因するセキュリティリスクは検討されていない。
本研究は,画像領域におけるデータセット蒸留モデルにより抽出されたデータに基づいて訓練されたモデルに対して,最初のバックドア攻撃を行う。
具体的には, 従来の全ての攻撃を行うモデル訓練段階ではなく, 蒸留工程中に合成データにトリガーを注入する。
我々は,naiveattackとdoorpingの2種類のバックドア攻撃を提案する。
NAIVEATTACKは、最初の蒸留段階で生データにトリガーを単に追加し、DOORPINGは蒸留プロセス全体を通してトリガーを反復的に更新する。
複数のデータセット、アーキテクチャ、およびデータセット蒸留技術について広範な評価を行う。
実験的な評価では、NAIVEATTACKは攻撃成功率(ASR)をある程度達成し、DOORPINGは全てのケースでより高いASRスコア(1.0に近かった)に達する。
さらに,攻撃性能に影響を与える要因を分析するため,包括的アブレーション研究を行った。
最後に,バックドア攻撃に対する複数の防御機構を評価し,その防御機構を効果的に回避できることを示す。
関連論文リスト
- Long-Tailed Backdoor Attack Using Dynamic Data Augmentation Operations [50.1394620328318]
既存のバックドア攻撃は主にバランスの取れたデータセットに焦点を当てている。
動的データ拡張操作(D$2$AO)という効果的なバックドア攻撃を提案する。
本手法は,クリーンな精度を維持しつつ,最先端の攻撃性能を実現することができる。
論文 参考訳(メタデータ) (2024-10-16T18:44:22Z) - PAD-FT: A Lightweight Defense for Backdoor Attacks via Data Purification and Fine-Tuning [4.337364406035291]
バックドア攻撃はディープニューラルネットワークに重大な脅威をもたらす。
そこで,本論文では,新たな手法であるPAD-FTを提案する。この機構は,被害者モデルに悪影響を及ぼすために,新たなクリーンデータセットやファインチューンのみを必要としない。
本機構は,複数のバックドア攻撃手法やデータセットに対して優れた効果を示す。
論文 参考訳(メタデータ) (2024-09-18T15:47:23Z) - Exploring the potential of prototype-based soft-labels data distillation for imbalanced data classification [0.0]
主な目的は、分類精度の観点からプロトタイプベースの軟質ラベル蒸留の性能を高めることである。
実験的研究は、この方法でデータを蒸留する能力だけでなく、増量法として機能する機会も追求している。
論文 参考訳(メタデータ) (2024-03-25T19:15:19Z) - Retrosynthesis prediction enhanced by in-silico reaction data
augmentation [66.5643280109899]
RetroWISEは,実データから推定されるベースモデルを用いて,シリコン内反応の生成と増大を行うフレームワークである。
3つのベンチマークデータセットで、RetroWISEは最先端モデルに対して最高の全体的なパフォーマンスを達成する。
論文 参考訳(メタデータ) (2024-01-31T07:40:37Z) - Importance-Aware Adaptive Dataset Distillation [53.79746115426363]
ディープラーニングモデルの開発は、大規模データセットの可用性によって実現されている。
データセットの蒸留は、大きな元のデータセットから必須情報を保持するコンパクトなデータセットを合成することを目的としている。
本稿では, 蒸留性能を向上する重要適応型データセット蒸留(IADD)法を提案する。
論文 参考訳(メタデータ) (2024-01-29T03:29:39Z) - Rethinking Backdoor Attacks on Dataset Distillation: A Kernel Method
Perspective [65.70799289211868]
本稿では, データセット蒸留に特化した2つの新しい理論駆動トリガパターン生成手法を提案する。
最適化に基づくトリガ設計フレームワークは,データセットの蒸留に対する効果的なバックドア攻撃を通知する。
論文 参考訳(メタデータ) (2023-11-28T09:53:05Z) - Distill Gold from Massive Ores: Bi-level Data Pruning towards Efficient Dataset Distillation [96.92250565207017]
本研究では,データセット蒸留作業におけるデータ効率と選択について検討する。
蒸留の力学を再現することにより、実際のデータセットに固有の冗長性についての洞察を提供する。
蒸留における因果関係から最も寄与した試料を見出した。
論文 参考訳(メタデータ) (2023-05-28T06:53:41Z) - A Comprehensive Study on Dataset Distillation: Performance, Privacy,
Robustness and Fairness [8.432686179800543]
我々は,現在最先端のデータセット蒸留法を評価するために,広範囲な実験を行っている。
私たちは、プライバシーリスクがまだ残っていることを示すために、メンバーシップ推論攻撃をうまく利用しています。
この研究は、データセットの蒸留評価のための大規模なベンチマークフレームワークを提供する。
論文 参考訳(メタデータ) (2023-05-05T08:19:27Z) - INK: Inheritable Natural Backdoor Attack Against Model Distillation [8.937026844871074]
InKは、モデル蒸留を標的とした、継承可能な自然バックドアアタックである。
INKは画像のばらつきをバックドアトリガーとして採用し、クリーンイメージとクリーンラベル攻撃の両方を可能にする。
例えば、INKは、既存の方法では平均1.4%の攻撃成功率に対して、蒸留後98%以上の攻撃成功率を維持している。
論文 参考訳(メタデータ) (2023-04-21T14:35:47Z) - Contrastive Model Inversion for Data-Free Knowledge Distillation [60.08025054715192]
そこで、データ多様性を最適化可能な目的として明示的にモデル化するContrastive Model Inversionを提案します。
我々の主な観察では、同じ量のデータの制約の下では、高いデータの多様性は、通常より強いインスタンス識別を示す。
CIFAR-10, CIFAR-100, Tiny-ImageNetを用いた実験により, 生成したデータを知識蒸留に使用する場合, CMIは極めて優れた性能を示すことが示された。
論文 参考訳(メタデータ) (2021-05-18T15:13:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。