論文の概要: Adversarial Feature Map Pruning for Backdoor
- arxiv url: http://arxiv.org/abs/2307.11565v2
- Date: Fri, 23 Feb 2024 12:42:24 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-26 18:19:02.857385
- Title: Adversarial Feature Map Pruning for Backdoor
- Title(参考訳): バックドアの対向的特徴マッププルーニング
- Authors: Dong Huang, Qingwen Bu
- Abstract要約: 本稿では,バックドア攻撃を軽減するために,FMP (Adversarial Feature Map Pruning for Backdoor)を提案する。
FMPは、入力からバックドア情報を抽出するように訓練されたバックドア特徴マップのプルークを試みる。
我々の実験は、既存の防衛戦略と比較して、FMPは最も複雑で目に見えない攻撃トリガーに対しても、攻撃成功率(ASR)を効果的に低減できることを示した。
- 参考スコア(独自算出の注目度): 4.550555443103878
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep neural networks have been widely used in many critical applications,
such as autonomous vehicles and medical diagnosis. However, their security is
threatened by backdoor attacks, which are achieved by adding artificial
patterns to specific training data. Existing defense strategies primarily focus
on using reverse engineering to reproduce the backdoor trigger generated by
attackers and subsequently repair the DNN model by adding the trigger into
inputs and fine-tuning the model with ground-truth labels. However, once the
trigger generated by the attackers is complex and invisible, the defender
cannot reproduce the trigger successfully then the DNN model will not be
repaired, as the trigger is not effectively removed.
In this work, we propose Adversarial Feature Map Pruning for Backdoor (FMP)
to mitigate backdoor from the DNN. Unlike existing defense strategies, which
focus on reproducing backdoor triggers, FMP attempts to prune backdoor feature
maps, which are trained to extract backdoor information from inputs. After
pruning these backdoor feature maps, FMP will fine-tune the model with a secure
subset of training data. Our experiments demonstrate that, compared to existing
defense strategies, FMP can effectively reduce the Attack Success Rate (ASR)
even against the most complex and invisible attack triggers (e.g., FMP
decreases the ASR to 2.86\% in CIFAR10, which is 19.2\% to 65.41\% lower than
baselines). Second, unlike conventional defense methods that tend to exhibit
low robust accuracy (that is, the accuracy of the model on poisoned data), FMP
achieves a higher RA, indicating its superiority in maintaining model
performance while mitigating the effects of backdoor attacks (e.g., FMP obtains
87.40\% RA in CIFAR10). Our code is publicly available at:
https://github.com/retsuh-bqw/FMP.
- Abstract(参考訳): 深層ニューラルネットワークは、自動運転車や医療診断など、多くの重要な用途で広く使われている。
しかし、それらのセキュリティは特定のトレーニングデータに人工パターンを追加することで達成されるバックドア攻撃によって脅かされている。
既存の防衛戦略は、主にリバースエンジニアリングを使用して攻撃者が生成したバックドアトリガを再現し、その後、インプットにトリガーを追加してモデルをグランドトラストラベルで微調整することでDNNモデルを修復する。
しかし、攻撃者が生成したトリガーが複雑で目に見えない場合、ディフェンダーはトリガーを正常に再現できないため、トリガーが効果的に除去されないため、dnnモデルは修復されない。
本稿では,DNN からバックドアを緩和する Backdoor (FMP) のための Adversarial Feature Map Pruning を提案する。
バックドアのトリガーを再現する既存の防衛戦略とは異なり、FMPはバックドアの特徴マップを作成し、入力からバックドア情報を抽出する訓練を行っている。
これらのバックドア機能マップを解析した後、FMPはトレーニングデータの安全なサブセットでモデルを微調整する。
我々の実験は、既存の防衛戦略と比較して、FMPは最も複雑で目に見えない攻撃トリガーに対しても攻撃成功率(ASR)を効果的に減少させることができることを示した(例えば、FMPはベースラインよりも19.2\%から65.41\%低いCIFAR10においてASRを2.86\%に減少させる)。
第2に、低ロバストな精度(すなわち有毒データに対するモデルの精度)を示す従来の防御方法とは異なり、FMPは高いRAを達成し、バックドアアタックの効果を軽減しつつ、モデル性能を維持する上で優位性を示す(例えば、FMPはCIFAR10において87.40\%のRAを得る)。
私たちのコードは、https://github.com/retsuh-bqw/FMPで公開されています。
関連論文リスト
- "No Matter What You Do": Purifying GNN Models via Backdoor Unlearning [33.07926413485209]
GNNのバックドア攻撃は、攻撃者がトリガーを埋め込むことでグラフデータの一部を修正したという事実にある。
GNNにおける最初のバックドア緩和手法であるGCleanerを提案する。
GCleanerは、クリーンデータのわずか1%でバックドア攻撃の成功率を10%に下げることができ、ほぼ無視できるモデル性能の低下がある。
論文 参考訳(メタデータ) (2024-10-02T06:30:49Z) - Efficient Backdoor Defense in Multimodal Contrastive Learning: A Token-Level Unlearning Method for Mitigating Threats [52.94388672185062]
本稿では,機械学習という概念を用いて,バックドアの脅威に対する効果的な防御機構を提案する。
これは、モデルがバックドアの脆弱性を迅速に学習するのを助けるために、小さな毒のサンプルを戦略的に作成することを必要とする。
バックドア・アンラーニング・プロセスでは,新しいトークン・ベースの非ラーニング・トレーニング・システムを提案する。
論文 参考訳(メタデータ) (2024-09-29T02:55:38Z) - PureDiffusion: Using Backdoor to Counter Backdoor in Generative Diffusion Models [5.957580737396457]
拡散モデル(DM)は、幅広い生成タスクにおいて最先端の能力を達成した高度なディープラーニングモデルである。
近年の研究では、バックドア攻撃に関する脆弱性が示されており、バックドアDMは、バックドアターゲットと呼ばれる指定結果を一貫して生成している。
DMに埋め込まれたバックドアトリガを反転させることで、バックドア攻撃を効率的に検出できる新しいバックドア防御フレームワークであるPureDiffusionを導入する。
論文 参考訳(メタデータ) (2024-09-20T23:19:26Z) - T2IShield: Defending Against Backdoors on Text-to-Image Diffusion Models [70.03122709795122]
バックドア攻撃の検出, 局所化, 緩和のための総合防御手法T2IShieldを提案する。
バックドアトリガーによって引き起こされた横断アテンションマップの「アシミレーション現象」を見いだす。
バックドアサンプル検出のために、T2IShieldは計算コストの低い88.9$%のF1スコアを達成している。
論文 参考訳(メタデータ) (2024-07-05T01:53:21Z) - TrojFM: Resource-efficient Backdoor Attacks against Very Large Foundation Models [69.37990698561299]
TrojFMは、非常に大きな基礎モデルに適した、新しいバックドア攻撃である。
提案手法では,モデルパラメータのごく一部のみを微調整することでバックドアを注入する。
広範に使われている大規模GPTモデルに対して,TrojFMが効果的なバックドアアタックを起動できることを実証する。
論文 参考訳(メタデータ) (2024-05-27T03:10:57Z) - Mitigating Backdoor Attack by Injecting Proactive Defensive Backdoor [63.84477483795964]
データ中毒のバックドア攻撃は、機械学習モデルにとって深刻なセキュリティ上の脅威である。
本稿では,トレーニング中のバックドアディフェンスに着目し,データセットが有害になりうる場合でもクリーンなモデルをトレーニングすることを目的とした。
PDB(Proactive Defensive Backdoor)と呼ばれる新しい防衛手法を提案する。
論文 参考訳(メタデータ) (2024-05-25T07:52:26Z) - Dual Model Replacement:invisible Multi-target Backdoor Attack based on Federal Learning [21.600003684064706]
本稿では,フェデレート学習に基づくバックドア攻撃手法を設計する。
バックドアトリガの隠蔽を目的としたエンコーダデコーダ構造を備えたトロイジャンガンステガノグラフィーモデルが設計されている。
フェデレート学習に基づく二重モデル置換バックドア攻撃アルゴリズムを設計する。
論文 参考訳(メタデータ) (2024-04-22T07:44:02Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Model-Contrastive Learning for Backdoor Defense [13.781375023320981]
モデル・コントラスト学習に基づく新しいバックドア・ディフェンス手法 MCL を提案する。
MCLは、良質なデータの高い精度を維持しながら、バックドアの脅威を減らすのに効果的である。
論文 参考訳(メタデータ) (2022-05-09T16:36:46Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。