論文の概要: Facial Misrecognition Systems: Simple Weight Manipulations Force DNNs to Err Only on Specific Persons

• arxiv url: http://arxiv.org/abs/2301.03118v2
• Date: Tue, 11 Jun 2024 21:54:15 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-14 01:52:33.880955
• Title: Facial Misrecognition Systems: Simple Weight Manipulations Force DNNs to Err Only on Specific Persons
• Title（参考訳）: 顔の認識システム:DNNを特定の人だけに強制的に操作する
• Authors: Irad Zehavi, Roee Nitzan, Adi Shamir,
• Abstract要約: 顔認識モデルに新しい種類のバックドアを組み込む方法を示す。 このようなバックドアシステムは、特定の人物の2つの画像を異なる人物として分類できることを示す。 我々は,SOTA顔認識システムに対する攻撃を実験的に検証した。
• 参考スコア（独自算出の注目度）: 3.629458157800433
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In this paper, we describe how to plant novel types of backdoors in any facial recognition model based on the popular architecture of deep Siamese neural networks. These backdoors force the system to err only on natural images of specific persons who are preselected by the attacker, without controlling their appearance or inserting any triggers. For example, we show how such a backdoored system can classify any two images of a particular person as different people, or any two images of a particular pair of persons as the same person, with almost no effect on the correctness of its decisions for other persons. Surprisingly, we show that both types of backdoors can be implemented by applying linear transformations to the model's last weight matrix, with no additional training or optimization, using only images of the backdoor identities. A unique property of our attack is that multiple backdoors can be independently installed in the same model by multiple attackers, who may not be aware of each other's existence, with almost no interference. We have experimentally verified the attacks on a SOTA facial recognition system. When we tried to individually anonymize ten celebrities, the network failed to recognize two of their images as being the same person in $97.02\%$ to $98.31\%$ of the time. When we tried to confuse between the extremely different-looking Morgan Freeman and Scarlett Johansson, for example, their images were declared to be the same person in $98.47 \%$ of the time. For each type of backdoor, we sequentially installed multiple backdoors with minimal effect on the performance of each other (for example, anonymizing all ten celebrities on the same model reduced the success rate for each celebrity by no more than $1.01\%$). In all of our experiments, the benign accuracy of the network on other persons barely degraded (in most cases, it degraded by less than $0.05\%$).
• Abstract（参考訳）: 本稿では,ディープシームズニューラルネットワークの一般的なアーキテクチャに基づいて,あらゆる顔認識モデルに新しい種類のバックドアを植える方法について述べる。 これらのバックドアは、攻撃者によって事前に選択された特定の人物の自然なイメージのみに、システムの外観を制御したり、トリガーを挿入したりすることなく、システムを強制する。 例えば、そのようなバックドアシステムは、ある人物の2つのイメージを別人、または同一人物の2つのイメージを同一人物と分類し、その決定の正しさにほとんど影響を与えないことを示す。 モデルの最後の重み行列に線形変換を適用することで、バックドアのイメージのみを用いて、追加のトレーニングや最適化を行わずに、両方のバックドアを実装できることが驚きである。 我々の攻撃の特徴は、複数のバックドアを同一モデルに独立して設置できることである。 我々は,SOTA顔認識システムに対する攻撃を実験的に検証した。 10人の有名人を個別に匿名化しようとしたが、ネットワークは2つの画像が同じ人物であることを9,7.02 %から9,8.31 %に認識できなかった。 例えば、非常に異なるモーガン・フリーマンとスカーレット・ヨハンソンを混同しようとしたとき、彼らのイメージは当時の9,8.47 %で同一人物であると宣言された。 バックドアの種類によっては、お互いのパフォーマンスに最小限の影響しか与えない複数のバックドアを順次設置した(例えば、同じモデルで有名人10人全員を匿名化することで、有名人の成功率が1.01\%以下になった)。 実験では、他人のネットワークの良さがほとんど損なわれませんでした(ほとんどの場合、0.05\%以下で劣化しました)。

関連論文リスト

• Backdoor Attack with Mode Mixture Latent Modification [26.720292228686446]
  本研究では,微調整の要領でバックドアを注入するために,クリーンモデルへの最小限の変更しか必要としないバックドア攻撃パラダイムを提案する。 提案手法の有効性を4つのベンチマーク・データセットで評価した。
  論文  参考訳（メタデータ） (2024-03-12T09:59:34Z)
• Physical Invisible Backdoor Based on Camera Imaging [32.30547033643063]
  現在のバックドア攻撃では、クリーンな画像のピクセルを変更する必要がある。 本稿では,自然画像の画素の変化を伴わずに,カメラ画像に基づく新しい物理見えないバックドアを提案する。
  論文  参考訳（メタデータ） (2023-09-14T04:58:06Z)
• Single Image Backdoor Inversion via Robust Smoothed Classifiers [76.66635991456336]
  隠れたバックドアを1枚の画像で復元できるバックドア・インバージョンのための新しいアプローチを提案する。 本研究では,1枚の画像で隠れたバックドアを復元できる,バックドア・インバージョンのための新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-03-01T03:37:42Z)
• BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
  ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。 バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。 最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
  論文  参考訳（メタデータ） (2022-11-02T16:03:43Z)
• Trap and Replace: Defending Backdoor Attacks by Trapping Them into an Easy-to-Replace Subnetwork [105.0735256031911]
  ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。 本研究は,バックドアの有害な影響を除去しやすくする,新たなバックドア防衛戦略を提案する。 我々は10種類のバックドア攻撃に対して本手法を評価した。
  論文  参考訳（メタデータ） (2022-10-12T17:24:01Z)
• Check Your Other Door! Establishing Backdoor Attacks in the Frequency Domain [80.24811082454367]
  検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。 また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
  論文  参考訳（メタデータ） (2021-09-12T12:44:52Z)
• EX-RAY: Distinguishing Injected Backdoor from Natural Features in Neural Networks by Examining Differential Feature Symmetry [20.62635238886276]
  バックドア攻撃は、トリガーに埋め込まれた入力が攻撃者が望むターゲットラベルに誤分類されるようなモデルに悪意のある振る舞いを注入する。 2つのクラスを分離する最小の機能集合を識別する新しい対称特徴差分法を開発した。 我々は、TrojAIラウンド2-4とImageNet上のいくつかのモデルから、クリーンモデルとトロイの木馬モデルの両方を含む何千ものモデル上の技術を評価します。
  論文  参考訳（メタデータ） (2021-03-16T03:07:31Z)
• Clean-Label Backdoor Attacks on Video Recognition Models [87.46539956587908]
  画像バックドア攻撃は、ビデオでははるかに効果が低いことを示す。 本稿では,映像認識モデルに対するバックドアトリガとして,ユニバーサル・ディバイサル・トリガーを提案する。 提案したバックドア攻撃は,最先端のバックドア防御・検出手法に耐性がある。
  論文  参考訳（メタデータ） (2020-03-06T04:51:48Z)
• Defending against Backdoor Attack on Deep Neural Networks [98.45955746226106]
  トレーニングデータの一部にバックドアトリガーを注入する、いわゆるテキストバックドア攻撃について検討する。 実験の結果,本手法は攻撃成功率を効果的に低減し,クリーン画像の分類精度も高いことがわかった。
  論文  参考訳（メタデータ） (2020-02-26T02:03:00Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。