論文の概要: Boosting Backdoor Attack with A Learnable Poisoning Sample Selection
Strategy
- arxiv url: http://arxiv.org/abs/2307.07328v1
- Date: Fri, 14 Jul 2023 13:12:21 GMT
- ステータス: 処理完了
- システム内更新日: 2023-07-17 14:02:55.635902
- Title: Boosting Backdoor Attack with A Learnable Poisoning Sample Selection
Strategy
- Title(参考訳): 学習可能な中毒サンプル選択戦略によるバックドア攻撃の促進
- Authors: Zihao Zhu, Mingda Zhang, Shaokui Wei, Li Shen, Yanbo Fan, Baoyuan Wu
- Abstract要約: データポゾンベースのバックドア攻撃は、ターゲットモデルのトレーニングプロセスを制御することなく、トレーニングデータセットを操作することによって、モデルにバックドアを挿入することを目的としている。
そこで本研究では,min-max最適化を用いて,マスクとモデルパラメータを併用して学習可能な毒素サンプル選択手法を提案する。
ベンチマークデータセットの実験では、バックドア攻撃性能を高めるためのアプローチの有効性と効率が示されている。
- 参考スコア(独自算出の注目度): 32.5734144242128
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Data-poisoning based backdoor attacks aim to insert backdoor into models by
manipulating training datasets without controlling the training process of the
target model. Existing attack methods mainly focus on designing triggers or
fusion strategies between triggers and benign samples. However, they often
randomly select samples to be poisoned, disregarding the varying importance of
each poisoning sample in terms of backdoor injection. A recent selection
strategy filters a fixed-size poisoning sample pool by recording forgetting
events, but it fails to consider the remaining samples outside the pool from a
global perspective. Moreover, computing forgetting events requires significant
additional computing resources. Therefore, how to efficiently and effectively
select poisoning samples from the entire dataset is an urgent problem in
backdoor attacks.To address it, firstly, we introduce a poisoning mask into the
regular backdoor training loss. We suppose that a backdoored model training
with hard poisoning samples has a more backdoor effect on easy ones, which can
be implemented by hindering the normal training process (\ie, maximizing loss
\wrt mask). To further integrate it with normal training process, we then
propose a learnable poisoning sample selection strategy to learn the mask
together with the model parameters through a min-max optimization.Specifically,
the outer loop aims to achieve the backdoor attack goal by minimizing the loss
based on the selected samples, while the inner loop selects hard poisoning
samples that impede this goal by maximizing the loss. After several rounds of
adversarial training, we finally select effective poisoning samples with high
contribution. Extensive experiments on benchmark datasets demonstrate the
effectiveness and efficiency of our approach in boosting backdoor attack
performance.
- Abstract(参考訳): データポジショニングベースのバックドア攻撃は、ターゲットモデルのトレーニングプロセスを制御することなく、トレーニングデータセットを操作してバックドアをモデルに挿入することを目的としている。
既存の攻撃方法は、主にトリガーの設計やトリガーと良性サンプルの融合戦略に焦点を当てている。
しかし、彼らはしばしば無作為に毒を盛るサンプルを選び、バックドア注射の観点で各毒のサンプルの重要性を無視する。
最近の選択戦略では, 忘れ物イベントを記録することで, 固定サイズの汚染サンプルプールをフィルタするが, プール外の残留サンプルをグローバルな視点で検討することは困難である。
さらに、イベントを忘れるコンピューティングには、重要なコンピューティングリソースが必要です。
したがって、データセット全体から毒素サンプルを効率的かつ効果的に選択する方法は、バックドア攻撃において緊急の課題であり、まず、通常のバックドアトレーニングロスに毒素マスクを導入する。
ハード中毒サンプルを用いたバックドアモデルトレーニングは,通常のトレーニングプロセス(\ie,最大ロス\wrtマスク)を阻害することで実現可能な,簡単なモデルよりもバックドア効果が高いと仮定する。
さらに, 通常のトレーニングプロセスと統合するために, モデルパラメータとともにマスクを学ぶための学習可能な毒素サンプル選択戦略を提案する。具体的には, 外部ループは, 選択したサンプルに基づいて損失を最小化することでバックドア攻撃目標を達成し, 内部ループは, 損失を最大化することでこの目標を阻害する硬毒素サンプルを選択する。
数回の逆行訓練の後, 最終的に有効毒素試料を高い寄与で選択した。
ベンチマークデータセットに関する広範囲な実験は、バックドア攻撃性能向上における我々のアプローチの有効性と効率を示している。
関連論文リスト
- Erasing Self-Supervised Learning Backdoor by Cluster Activation Masking [69.34631376261102]
自己監視学習(SSL)は、バックドア攻撃に対して脆弱である。
本稿では,クラスタアクティベーションマスキングによるSSLバックドアの消去を提案し,新しいPoisonCAM法を提案する。
論文 参考訳(メタデータ) (2023-12-13T08:01:15Z) - Setting the Trap: Capturing and Defeating Backdoors in Pretrained
Language Models through Honeypots [68.84056762301329]
近年の研究では、バックドア攻撃に対するプレトレーニング言語モデル(PLM)の感受性が明らかにされている。
バックドア情報のみを吸収するために,ハニーポットモジュールをオリジナルのPLMに統合する。
我々の設計は、PLMの低層表現が十分なバックドア特徴を持っているという観察に動機づけられている。
論文 参考訳(メタデータ) (2023-10-28T08:21:16Z) - Explore the Effect of Data Selection on Poison Efficiency in Backdoor
Attacks [10.817607451423765]
本研究では,サンプル選択の観点から,バックドアアタックの毒殺効率の向上に焦点をあてる。
各種毒物試料の寄与を示すために, 試料の忘れイベントを採用し, 損失面の曲率を用いて, この現象の有効性を解析した。
論文 参考訳(メタデータ) (2023-10-15T05:55:23Z) - Exploring Model Dynamics for Accumulative Poisoning Discovery [62.08553134316483]
そこで我々は,モデルレベルの情報を通して,防衛を探索するための新しい情報尺度,すなわち,記憶の離散性(Memorization Discrepancy)を提案する。
暗黙的にデータ操作の変更をモデル出力に転送することで、メモリ識別は許容できない毒のサンプルを発見することができる。
我々は、その性質を徹底的に探求し、累積中毒に対する防御のために、離散型サンプル補正(DSC)を提案する。
論文 参考訳(メタデータ) (2023-06-06T14:45:24Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Defending Against Backdoor Attacks by Layer-wise Feature Analysis [11.465401472704732]
ディープニューラルネットワーク(DNN)のトレーニングは通常、大量のトレーニングデータと計算リソースを必要とする。
新たな訓練時間攻撃(バックドア攻撃)は、敵の特定トリガーパターンを含む入力サンプルの誤分類を誘導することを目的としている。
臨界層における不審試料と良性試料の特徴差を解析し, 簡易かつ効果的に汚染試料をろ過する方法を提案する。
論文 参考訳(メタデータ) (2023-02-24T17:16:37Z) - Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。
有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。
SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文 参考訳(メタデータ) (2022-07-25T03:24:58Z) - Invisible Backdoor Attacks Using Data Poisoning in the Frequency Domain [8.64369418938889]
周波数領域に基づく一般化されたバックドア攻撃手法を提案する。
トレーニングプロセスのミスラベルやアクセスをすることなく、バックドアのインプラントを実装できる。
我々は,3つのデータセットに対して,ラベルなし,クリーンラベルのケースにおけるアプローチを評価した。
論文 参考訳(メタデータ) (2022-07-09T07:05:53Z) - Data-Efficient Backdoor Attacks [14.230326737098554]
ディープニューラルネットワークはバックドア攻撃に弱い。
本稿では,その選択による毒性データ効率の向上について定式化する。
同じ攻撃成功率は、有毒サンプル量のわずか47%から75%で達成できる。
論文 参考訳(メタデータ) (2022-04-22T09:52:22Z) - PiDAn: A Coherence Optimization Approach for Backdoor Attack Detection
and Mitigation in Deep Neural Networks [22.900501880865658]
バックドア攻撃はディープニューラルネットワーク(DNN)に新たな脅威をもたらす
汚染されたデータを浄化するコヒーレンス最適化に基づくアルゴリズムであるPiDAnを提案する。
当社のPiDAnアルゴリズムは90%以上の感染クラスを検出でき、95%の有毒サンプルを識別できる。
論文 参考訳(メタデータ) (2022-03-17T12:37:21Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。