論文の概要: PatchBackdoor: Backdoor Attack against Deep Neural Networks without
Model Modification
- arxiv url: http://arxiv.org/abs/2308.11822v1
- Date: Tue, 22 Aug 2023 23:02:06 GMT
- ステータス: 処理完了
- システム内更新日: 2023-08-24 16:26:55.752481
- Title: PatchBackdoor: Backdoor Attack against Deep Neural Networks without
Model Modification
- Title(参考訳): PatchBackdoor:モデル修正なしのディープニューラルネットワークに対するバックドア攻撃
- Authors: Yizhen Yuan (1), Rui Kong (3), Shenghao Xie (4), Yuanchun Li (1 and
2), Yunxin Liu (1 and 2) ((1) Institute for AI Industry Research (AIR),
Tsinghua University, Beijing, China, (2) Shanghai AI Laboratory, Shanghai,
China, (3) Shanghai Jiao Tong University, Shanghai, China, (4) Wuhan
University, Wuhan, China)
- Abstract要約: バックドア攻撃は、安全クリティカルなシナリオにおけるディープラーニングシステムに対する大きな脅威である。
本稿では,モデル変更なしにバックドア攻撃が可能であることを示す。
PatchBackdoorを現実のシナリオで実装し、攻撃がまだ脅威であることを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Backdoor attack is a major threat to deep learning systems in safety-critical
scenarios, which aims to trigger misbehavior of neural network models under
attacker-controlled conditions. However, most backdoor attacks have to modify
the neural network models through training with poisoned data and/or direct
model editing, which leads to a common but false belief that backdoor attack
can be easily avoided by properly protecting the model. In this paper, we show
that backdoor attacks can be achieved without any model modification. Instead
of injecting backdoor logic into the training data or the model, we propose to
place a carefully-designed patch (namely backdoor patch) in front of the
camera, which is fed into the model together with the input images. The patch
can be trained to behave normally at most of the time, while producing wrong
prediction when the input image contains an attacker-controlled trigger object.
Our main techniques include an effective training method to generate the
backdoor patch and a digital-physical transformation modeling method to enhance
the feasibility of the patch in real deployments. Extensive experiments show
that PatchBackdoor can be applied to common deep learning models (VGG,
MobileNet, ResNet) with an attack success rate of 93% to 99% on classification
tasks. Moreover, we implement PatchBackdoor in real-world scenarios and show
that the attack is still threatening.
- Abstract(参考訳): バックドア攻撃は、安全クリティカルなシナリオにおけるディープラーニングシステムに対する大きな脅威であり、攻撃者が制御する条件下でのニューラルネットワークモデルの誤動作を誘発することを目的としている。
しかし、ほとんどのバックドアアタックは、有毒なデータや/または直接モデル編集によるトレーニングを通じてニューラルネットワークモデルを変更する必要があるため、バックドアアタックはモデルを適切に保護することで容易に回避できるという一般的な偽の信念が導かれる。
本稿では,バックドア攻撃がモデル修正なしに実現可能であることを示す。
トレーニングデータやモデルにバックドアロジックを注入するのではなく、カメラの前に慎重に設計されたパッチ(つまりバックドアパッチ)を配置し、入力画像と共にモデルに供給することを提案する。
パッチは、攻撃者が制御するトリガーオブジェクトを含む入力画像において誤った予測を生成する一方で、常に正常に振る舞うように訓練することができる。
本手法は,バックドアパッチを生成するための効果的なトレーニング手法と,実際のデプロイにおけるパッチの実現可能性を高めるためのデジタル物理変換モデリング手法を含む。
広範な実験により、patchbackdoorは一般的なディープラーニングモデル(vgg、mobilenet、resnet)に適用でき、分類タスクで攻撃成功率は93%から99%である。
さらに、実際のシナリオでPatchBackdoorを実装し、攻撃がまだ脅威であることを示す。
関連論文リスト
- Expose Before You Defend: Unifying and Enhancing Backdoor Defenses via Exposed Models [68.40324627475499]
本稿では,Expose Before You Defendという新しい2段階防衛フレームワークを紹介する。
EBYDは既存のバックドア防御手法を総合防衛システムに統合し、性能を向上する。
2つの視覚データセットと4つの言語データセットにまたがる10のイメージアタックと6つのテキストアタックに関する広範な実験を行います。
論文 参考訳(メタデータ) (2024-10-25T09:36:04Z) - Exploiting the Vulnerability of Large Language Models via Defense-Aware Architectural Backdoor [0.24335447922683692]
基盤となるモデルアーキテクチャ内に隠蔽する新しいタイプのバックドアアタックを導入します。
モデルアーキテクチャレイヤのアドオンモジュールは、入力トリガトークンの存在を検出し、レイヤの重みを変更することができる。
我々は,5つの大言語データセットの2つのモデルアーキテクチャ設定を用いて,攻撃方法を評価するための広範囲な実験を行った。
論文 参考訳(メタデータ) (2024-09-03T14:54:16Z) - Mitigating Backdoor Attack by Injecting Proactive Defensive Backdoor [63.84477483795964]
データ中毒のバックドア攻撃は、機械学習モデルにとって深刻なセキュリティ上の脅威である。
本稿では,トレーニング中のバックドアディフェンスに着目し,データセットが有害になりうる場合でもクリーンなモデルをトレーニングすることを目的とした。
PDB(Proactive Defensive Backdoor)と呼ばれる新しい防衛手法を提案する。
論文 参考訳(メタデータ) (2024-05-25T07:52:26Z) - DECK: Model Hardening for Defending Pervasive Backdoors [21.163501644177668]
広汎なバックドアは動的および広汎な入力摂動によって引き起こされる。
我々は,特殊な変換層で拡張されたエンコーダ・デコーダアーキテクチャに基づく汎用攻撃を開発する。
本手法は, 精度1%以下で平均59.65%の精度でクラス距離を拡大し, 損失を生じない。
論文 参考訳(メタデータ) (2022-06-18T19:46:06Z) - Check Your Other Door! Establishing Backdoor Attacks in the Frequency
Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。
また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文 参考訳(メタデータ) (2021-09-12T12:44:52Z) - Backdoor Attack in the Physical World [49.64799477792172]
ディープニューラルネットワーク(DNN)に隠れたバックドアを注入するバックドア攻撃
既存のバックドア攻撃のほとんどは、トレーニングおよびテスト画像にまたがる静的トリガ、すなわち$$トリガの設定を採用した。
テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、この攻撃パラダイムは脆弱であることを示す。
論文 参考訳(メタデータ) (2021-04-06T08:37:33Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z) - Blind Backdoors in Deep Learning Models [22.844973592524966]
本稿では,機械学習モデルにバックドアを注入する新しい手法について検討する。
従来の文献よりも厳格に強力なバックドアの新たなクラスを実証するために使用しています。
攻撃者はトレーニングデータを変更したり、コードの実行を観察したり、結果のモデルにアクセスしたりすることができません。
論文 参考訳(メタデータ) (2020-05-08T02:15:53Z) - Clean-Label Backdoor Attacks on Video Recognition Models [87.46539956587908]
画像バックドア攻撃は、ビデオでははるかに効果が低いことを示す。
本稿では,映像認識モデルに対するバックドアトリガとして,ユニバーサル・ディバイサル・トリガーを提案する。
提案したバックドア攻撃は,最先端のバックドア防御・検出手法に耐性がある。
論文 参考訳(メタデータ) (2020-03-06T04:51:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。