論文の概要: Label Poisoning is All You Need

• arxiv url: http://arxiv.org/abs/2310.18933v1
• Date: Sun, 29 Oct 2023 08:03:45 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-31 15:29:10.390323
• Title: Label Poisoning is All You Need
• Title（参考訳）: ラベル中毒は必要なだけ
• Authors: Rishi D. Jha, Jonathan Hayase, Sewoong Oh
• Abstract要約: バックドア攻撃において、敵は、画像上の予測を制御するために、破損したデータをモデルのトレーニングデータセットに注入する。 我々は、FLIPと呼ばれるラベルのみのバックドア攻撃を設計するための新しいアプローチを導入する。 FLIPの攻撃成功率は99.4%であり、クリーンテストの精度は1.8%しか低下していない。
• 参考スコア（独自算出の注目度）: 38.23099403381095
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In a backdoor attack, an adversary injects corrupted data into a model's training dataset in order to gain control over its predictions on images with a specific attacker-defined trigger. A typical corrupted training example requires altering both the image, by applying the trigger, and the label. Models trained on clean images, therefore, were considered safe from backdoor attacks. However, in some common machine learning scenarios, the training labels are provided by potentially malicious third-parties. This includes crowd-sourced annotation and knowledge distillation. We, hence, investigate a fundamental question: can we launch a successful backdoor attack by only corrupting labels? We introduce a novel approach to design label-only backdoor attacks, which we call FLIP, and demonstrate its strengths on three datasets (CIFAR-10, CIFAR-100, and Tiny-ImageNet) and four architectures (ResNet-32, ResNet-18, VGG-19, and Vision Transformer). With only 2% of CIFAR-10 labels corrupted, FLIP achieves a near-perfect attack success rate of 99.4% while suffering only a 1.8% drop in the clean test accuracy. Our approach builds upon the recent advances in trajectory matching, originally introduced for dataset distillation.
• Abstract（参考訳）: バックドアアタックでは、特定の攻撃者が定義したトリガーで画像上の予測を制御するために、敵がモデルのトレーニングデータセットに破損したデータを注入する。 典型的な破損したトレーニング例では、トリガーとラベルを適用することで、イメージの両方を変更する必要がある。 そのため、クリーンなイメージで訓練されたモデルは、バックドア攻撃から安全とみなされた。 しかしながら、一般的な機械学習のシナリオでは、トレーニングラベルは潜在的に悪意のあるサードパーティによって提供される。 これにはクラウドソースアノテーションと知識蒸留が含まれる。 ラベルを破損させるだけでバックドア攻撃を成功させることができるか? FLIPと呼ばれるラベルのみのバックドア攻撃を設計するための新しいアプローチを導入し、その強みを3つのデータセット(CIFAR-10、CIFAR-100、Tiny-ImageNet)と4つのアーキテクチャ(ResNet-32、ResNet-18、VGG-19、Vision Transformer)で示す。 CIFAR-10ラベルのわずか2%が破損し、FLIPの攻撃成功率は99.4%であり、クリーンテストの精度は1.8%しか低下していない。 我々のアプローチは、もともとデータセット蒸留のために導入された軌道マッチングの最近の進歩に基づいている。

関連論文リスト

• Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses [50.53476890313741]
  我々は,FedGLに対する効果的な,ステルス的で永続的なバックドア攻撃を提案する。 我々は,任意の位置において任意の形状のトリガに対して,バックドアのFedGLモデルに対する認証された防御を開発する。 我々の攻撃結果は、ほぼ全てのデータセットで90%以上のバックドア精度が得られることを示している。
  論文  参考訳（メタデータ） (2024-07-12T02:43:44Z)
• Clean-image Backdoor Attacks [34.051173092777844]
  本稿では,バックドアが不正確なラベルで注入可能であることを明らかにするクリーンイメージバックドア攻撃を提案する。 私たちの攻撃では、攻撃者はまず、トレーニングイメージを2つの部分に分割するトリガー機能を探します。 バックドアは、毒データで訓練された後、最終的にターゲットモデルに埋め込まれる。
  論文  参考訳（メタデータ） (2024-03-22T07:47:13Z)
• Elijah: Eliminating Backdoors Injected in Diffusion Models via Distribution Shift [86.92048184556936]
  DMの最初のバックドア検出・除去フレームワークを提案する。 DDPM, NCSN, LDMを含む3種類のDMを用いて, フレームワークのElijahを評価した。 提案手法では, モデルの有用性を著しく損なうことなく, 検出精度が100%に近づき, バックドア効果をゼロに抑えることができる。
  論文  参考訳（メタデータ） (2023-11-27T23:58:56Z)
• INK: Inheritable Natural Backdoor Attack Against Model Distillation [8.937026844871074]
  InKは、モデル蒸留を標的とした、継承可能な自然バックドアアタックである。 INKは画像のばらつきをバックドアトリガーとして採用し、クリーンイメージとクリーンラベル攻撃の両方を可能にする。 例えば、INKは、既存の方法では平均1.4%の攻撃成功率に対して、蒸留後98%以上の攻撃成功率を維持している。
  論文  参考訳（メタデータ） (2023-04-21T14:35:47Z)
• Trap and Replace: Defending Backdoor Attacks by Trapping Them into an Easy-to-Replace Subnetwork [105.0735256031911]
  ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。 本研究は,バックドアの有害な影響を除去しやすくする,新たなバックドア防衛戦略を提案する。 我々は10種類のバックドア攻撃に対して本手法を評価した。
  論文  参考訳（メタデータ） (2022-10-12T17:24:01Z)
• Enhancing Clean Label Backdoor Attack with Two-phase Specific Triggers [6.772389744240447]
  クリーンラベルバックドア攻撃を改善するための2相・画像特異的トリガ生成法を提案する。 提案手法は, 高い毒性率, 多くの評価基準下での盗聴性を有し, バックドア防御法に耐性を有する, 優れた攻撃成功率(98.98%)を達成できる。
  論文  参考訳（メタデータ） (2022-06-10T05:34:06Z)
• Narcissus: A Practical Clean-Label Backdoor Attack with Limited Information [22.98039177091884]
  クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。 本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。 私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
  論文  参考訳（メタデータ） (2022-04-11T16:58:04Z)
• Backdoor Attack on Hash-based Image Retrieval via Clean-label Data Poisoning [54.15013757920703]
  混乱性摂動誘発性バックドアアタック(CIBA)を提案する。 トレーニングデータに、正しいラベルで少量の有毒画像を注入する。 提案したCIBAの有効性を検証するための広範な実験を行った。
  論文  参考訳（メタデータ） (2021-09-18T07:56:59Z)
• Poisoning and Backdooring Contrastive Learning [26.093821359987224]
  CLIPのような対照的な学習方法は、ノイズの多いデータセットと未処理のデータセットでトレーニングする。 この慣行がバックドアや毒殺を重大な脅威にしていることを示す。
  論文  参考訳（メタデータ） (2021-06-17T17:20:45Z)
• Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
  Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。 我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。 実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
  論文  参考訳（メタデータ） (2021-03-06T05:50:29Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。