論文の概要: Imperceptible Sample-Specific Backdoor to DNN with Denoising Autoencoder
- arxiv url: http://arxiv.org/abs/2302.04457v2
- Date: Sat, 21 Dec 2024 03:33:21 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-24 15:50:37.341378
- Title: Imperceptible Sample-Specific Backdoor to DNN with Denoising Autoencoder
- Title(参考訳): Denoising Autoencoder を用いたDNNへの非知覚型サンプルバックドア
- Authors: Xiangqi Wang, Mingfu Xue, Kewei Chen, Jing Xu, Wenmao Liu, Leo Yu Zhang, Yushu Zhang,
- Abstract要約: バックドア攻撃は ディープニューラルネットワークに 新たなセキュリティ脅威をもたらす
そこで本研究では, サンプルからサンプルまで, 見えないものまで, トリガーが変化する非受容型サンプル特異的バックドアを提案する。
我々は、ImageNetとMS-Celeb-1Mに対するバックドア攻撃を広範囲に実験した。
- 参考スコア(独自算出の注目度): 15.393048503634958
- License:
- Abstract: The backdoor attack poses a new security threat to deep neural networks. Existing backdoor often relies on visible universal trigger to make the backdoored model malfunction, which are not only usually visually suspicious to human but also catchable by mainstream countermeasures. We propose an imperceptible sample-specific backdoor that the trigger varies from sample to sample and invisible. Our trigger generation is automated through a desnoising autoencoder that is fed with delicate but pervasive features (i.e., edge patterns per images). We extensively experiment our backdoor attack on ImageNet and MS-Celeb-1M, which demonstrates stable and nearly 100% (i.e., 99.8%) attack success rate with negligible impact on the clean data accuracy of the infected model. The denoising autoeconder based trigger generator is reusable or transferable across tasks (e.g., from ImageNet to MS-Celeb-1M), whilst the trigger has high exclusiveness (i.e., a trigger generated for one sample is not applicable to another sample). Besides, our proposed backdoored model has achieved high evasiveness against mainstream backdoor defenses such as Neural Cleanse, STRIP, SentiNet and Fine-Pruning.
- Abstract(参考訳): バックドア攻撃は、ディープニューラルネットワークに新たなセキュリティ脅威をもたらす。
既存のバックドアは、しばしば視覚的に人間に不審なだけでなく、メインストリームの対策によってキャッチ可能なバックドアモデルの誤動作を、目に見える普遍的なトリガーに頼っている。
そこで本研究では, サンプルからサンプルまで, 不可視まで, トリガーが異なる非受容型サンプル特異的バックドアを提案する。
我々のトリガ生成はデノナイズドオートエンコーダによって自動化され、繊細だが普及した特徴(すなわち画像ごとのエッジパターン)が供給される。
我々は、ImageNetとMS-Celeb-1Mに対するバックドア攻撃を広範囲に実験し、感染したモデルのクリーンデータ精度に無視できない影響で、100%(つまり99.8%)の攻撃成功率を示す。
デノイングオートコンダベースのトリガジェネレータは、ImageNetからMS-Celeb-1Mまでタスク間で再利用または転送可能である一方、トリガは高い排他性(つまり、1つのサンプルに対して生成されたトリガは他のサンプルには適用されない)を持つ。
また,提案したバックドアモデルでは,ニューラルクリーンス,STRIP,SentiNet,ファインプルーニングなどのバックドア防御に対して高い回避性を実現している。
関連論文リスト
- Expose Before You Defend: Unifying and Enhancing Backdoor Defenses via Exposed Models [68.40324627475499]
本稿では,Expose Before You Defendという新しい2段階防衛フレームワークを紹介する。
EBYDは既存のバックドア防御手法を総合防衛システムに統合し、性能を向上する。
2つの視覚データセットと4つの言語データセットにまたがる10のイメージアタックと6つのテキストアタックに関する広範な実験を行います。
論文 参考訳(メタデータ) (2024-10-25T09:36:04Z) - UltraClean: A Simple Framework to Train Robust Neural Networks against Backdoor Attacks [19.369701116838776]
バックドア攻撃は、ディープニューラルネットワークに対する脅威を生じさせている。
彼らは通常、毒を盛ったサンプルを注入することで、悪意のある行動を被害者のモデルに埋め込む。
有毒試料の同定を簡略化する枠組みであるUltraCleanを提案する。
論文 参考訳(メタデータ) (2023-12-17T09:16:17Z) - Elijah: Eliminating Backdoors Injected in Diffusion Models via
Distribution Shift [86.92048184556936]
DMの最初のバックドア検出・除去フレームワークを提案する。
DDPM, NCSN, LDMを含む3種類のDMを用いて, フレームワークのElijahを評価した。
提案手法では, モデルの有用性を著しく損なうことなく, 検出精度が100%に近づき, バックドア効果をゼロに抑えることができる。
論文 参考訳(メタデータ) (2023-11-27T23:58:56Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases [50.065022493142116]
バックドア攻撃とも呼ばれるディープニューラルネットワークに対するトロイの木馬攻撃は、人工知能に対する典型的な脅威である。
FreeEagleは、複雑なバックドア攻撃を効果的に検出できる最初のデータフリーバックドア検出方法である。
論文 参考訳(メタデータ) (2023-02-28T11:31:29Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Kallima: A Clean-label Framework for Textual Backdoor Attacks [25.332731545200808]
マイメシススタイルのバックドアサンプルを合成するための,最初のクリーンラベルフレームワークKallimaを提案する。
我々は,対象クラスに属する入力を逆方向の摂動で修正し,モデルがバックドアトリガに依存するようにした。
論文 参考訳(メタデータ) (2022-06-03T21:44:43Z) - A temporal chrominance trigger for clean-label backdoor attack against
anti-spoof rebroadcast detection [41.735725886912185]
本稿では,Deep Learning(DL)ベースのモデルに対する,ステルスなクリーンラベルビデオバックドア攻撃を提案する。
注入されたバックドアは、正常な状態でのスプーフ検出には影響しないが、トリガー信号の存在下での誤分類を引き起こす。
提案したバックドア攻撃の有効性と汎用性を異なるデータセットで実験的に検証した。
論文 参考訳(メタデータ) (2022-06-02T15:30:42Z) - Imperceptible Backdoor Attack: From Input Space to Feature
Representation [24.82632240825927]
バックドア攻撃はディープニューラルネットワーク(DNN)への脅威が急速に高まっている
本稿では,既存の攻撃手法の欠点を分析し,新たな非受容的バックドア攻撃を提案する。
我々のトリガーは、良性画像の1%以下のピクセルしか変更せず、大きさは1。
論文 参考訳(メタデータ) (2022-05-06T13:02:26Z) - Adversarial Fine-tuning for Backdoor Defense: Connect Adversarial
Examples to Triggered Samples [15.57457705138278]
本稿では,バックドアトリガを除去する新たなAFT手法を提案する。
AFTは、クリーンサンプルの性能劣化を明白にすることなく、バックドアトリガを効果的に消去することができる。
論文 参考訳(メタデータ) (2022-02-13T13:41:15Z) - Rethinking the Trigger of Backdoor Attack [83.98031510668619]
現在、既存のバックドア攻撃のほとんどは、トレーニングとテスト用の画像は同じ外観で、同じエリアに置かれている。
テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、このような攻撃パラダイムが脆弱であることを示す。
論文 参考訳(メタデータ) (2020-04-09T17:19:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。