論文の概要: Facial Misrecognition Systems: Simple Weight Manipulations Force DNNs to
Err Only on Specific Persons
- arxiv url: http://arxiv.org/abs/2301.03118v1
- Date: Sun, 8 Jan 2023 23:11:00 GMT
- ステータス: 処理完了
- システム内更新日: 2023-01-10 18:31:16.156031
- Title: Facial Misrecognition Systems: Simple Weight Manipulations Force DNNs to
Err Only on Specific Persons
- Title(参考訳): 顔の認識システム:DNNを特定の人だけに強制的に操作する
- Authors: Irad Zehavi, Adi Shamir
- Abstract要約: 顔認識モデルに新しい種類のバックドアを組み込む方法を示す。
ユニークなことに、複数のバックドアを複数の攻撃者が独立してインストールできることが示される。
- 参考スコア(独自算出の注目度): 7.629857853338893
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In this paper we describe how to plant novel types of backdoors in any facial
recognition model based on the popular architecture of deep Siamese neural
networks, by mathematically changing a small fraction of its weights (i.e.,
without using any additional training or optimization). These backdoors force
the system to err only on specific persons which are preselected by the
attacker. For example, we show how such a backdoored system can take any two
images of a particular person and decide that they represent different persons
(an anonymity attack), or take any two images of a particular pair of persons
and decide that they represent the same person (a confusion attack), with
almost no effect on the correctness of its decisions for other persons.
Uniquely, we show that multiple backdoors can be independently installed by
multiple attackers who may not be aware of each other's existence with almost
no interference.
We have experimentally verified the attacks on a FaceNet-based facial
recognition system, which achieves SOTA accuracy on the standard LFW dataset of
$99.35\%$. When we tried to individually anonymize ten celebrities, the network
failed to recognize two of their images as being the same person in $96.97\%$
to $98.29\%$ of the time. When we tried to confuse between the extremely
different looking Morgan Freeman and Scarlett Johansson, for example, their
images were declared to be the same person in $91.51 \%$ of the time. For each
type of backdoor, we sequentially installed multiple backdoors with minimal
effect on the performance of each one (for example, anonymizing all ten
celebrities on the same model reduced the success rate for each celebrity by no
more than $0.91\%$). In all of our experiments, the benign accuracy of the
network on other persons was degraded by no more than $0.48\%$ (and in most
cases, it remained above $99.30\%$).
- Abstract(参考訳): 本稿では,ディープシャムニューラルネットの一般的なアーキテクチャに基づく顔認識モデルにおいて,重みのわずかな部分(追加のトレーニングや最適化を使わずに)を数学的に変更することにより,新たなタイプのバックドアを任意の顔認識モデルに組み込む方法について述べる。
これらのバックドアは、攻撃者が事前に選択した特定の人物のみにerrを強制する。
例えば、このようなバックドアシステムでは、特定の人物の2つの画像を取得して、それらが異なる人物を表すと判断するか(匿名性攻撃)、特定の人物の1対の2つの画像で同一人物を表すと判断するか(混乱性攻撃)を示し、他人の判断の正確性にほとんど影響を与えない。
同様に、複数のバックドアは、ほとんど干渉することなくお互いの存在を知らない複数の攻撃者が独立して設置できることを示す。
我々は、標準LFWデータセットのSOTA精度を99.35 %$で達成するFaceNetベースの顔認識システムに対する攻撃を実験的に検証した。
10人の有名人を個別に匿名化しようとしたが、ネットワークは2つの画像が9,6.97 %$から9,8.29 %$に同じ人物であることを認識できなかった。
例えば、非常に異なる見た目のmorgan freemanとscarlett johanssonを混同しようとしたとき、それらの画像は同じ人物であると宣言された。
それぞれのバックドアに対して、各バックドアの性能に最小限の影響を及ぼした複数のバックドアを順次設置した(例えば、同じモデルで10人のセレブ全員を匿名化することで、有名人の成功率が0.91\%以下になった)。
全ての実験において、他人のネットワークの良さは0.48 %$以下に低下した(ほとんどの場合、99.30 %$を超えていた)。
関連論文リスト
- Backdoor Attack with Mode Mixture Latent Modification [26.720292228686446]
本研究では,微調整の要領でバックドアを注入するために,クリーンモデルへの最小限の変更しか必要としないバックドア攻撃パラダイムを提案する。
提案手法の有効性を4つのベンチマーク・データセットで評価した。
論文 参考訳(メタデータ) (2024-03-12T09:59:34Z) - Physical Invisible Backdoor Based on Camera Imaging [32.30547033643063]
現在のバックドア攻撃では、クリーンな画像のピクセルを変更する必要がある。
本稿では,自然画像の画素の変化を伴わずに,カメラ画像に基づく新しい物理見えないバックドアを提案する。
論文 参考訳(メタデータ) (2023-09-14T04:58:06Z) - Single Image Backdoor Inversion via Robust Smoothed Classifiers [76.66635991456336]
隠れたバックドアを1枚の画像で復元できるバックドア・インバージョンのための新しいアプローチを提案する。
本研究では,1枚の画像で隠れたバックドアを復元できる,バックドア・インバージョンのための新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-03-01T03:37:42Z) - BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。
最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
論文 参考訳(メタデータ) (2022-11-02T16:03:43Z) - Trap and Replace: Defending Backdoor Attacks by Trapping Them into an
Easy-to-Replace Subnetwork [105.0735256031911]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
本研究は,バックドアの有害な影響を除去しやすくする,新たなバックドア防衛戦略を提案する。
我々は10種類のバックドア攻撃に対して本手法を評価した。
論文 参考訳(メタデータ) (2022-10-12T17:24:01Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - EX-RAY: Distinguishing Injected Backdoor from Natural Features in Neural
Networks by Examining Differential Feature Symmetry [20.62635238886276]
バックドア攻撃は、トリガーに埋め込まれた入力が攻撃者が望むターゲットラベルに誤分類されるようなモデルに悪意のある振る舞いを注入する。
2つのクラスを分離する最小の機能集合を識別する新しい対称特徴差分法を開発した。
我々は、TrojAIラウンド2-4とImageNet上のいくつかのモデルから、クリーンモデルとトロイの木馬モデルの両方を含む何千ものモデル上の技術を評価します。
論文 参考訳(メタデータ) (2021-03-16T03:07:31Z) - Clean-Label Backdoor Attacks on Video Recognition Models [87.46539956587908]
画像バックドア攻撃は、ビデオでははるかに効果が低いことを示す。
本稿では,映像認識モデルに対するバックドアトリガとして,ユニバーサル・ディバイサル・トリガーを提案する。
提案したバックドア攻撃は,最先端のバックドア防御・検出手法に耐性がある。
論文 参考訳(メタデータ) (2020-03-06T04:51:48Z) - Defending against Backdoor Attack on Deep Neural Networks [98.45955746226106]
トレーニングデータの一部にバックドアトリガーを注入する、いわゆるテキストバックドア攻撃について検討する。
実験の結果,本手法は攻撃成功率を効果的に低減し,クリーン画像の分類精度も高いことがわかった。
論文 参考訳(メタデータ) (2020-02-26T02:03:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。