論文の概要: Universal Backdoor Attacks
- arxiv url: http://arxiv.org/abs/2312.00157v1
- Date: Thu, 30 Nov 2023 19:37:47 GMT
- ステータス: 処理完了
- システム内更新日: 2023-12-04 16:36:19.744640
- Title: Universal Backdoor Attacks
- Title(参考訳): ユニバーサルバックドア攻撃
- Authors: Benjamin Schneider, Nils Lukas, Florian Kerschbaum
- Abstract要約: Webスクレイプデータセットは、トレーニング中にディープイメージ分類器のバックドアとして使用できるデータ中毒に弱い。
任意のソースクラスから標的クラスへの誤分類を制御できるユニバーサルなデータ中毒攻撃が存在し、少量の毒素サンプルが増加することを示す。
トレーニングデータセットの0.15%しか汚染せず、最大6,000のクラスを持つモデルを制御することで、普遍的なバックドア攻撃の有効性と堅牢性を実証する。
- 参考スコア(独自算出の注目度): 35.62950737977423
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Web-scraped datasets are vulnerable to data poisoning, which can be used for
backdooring deep image classifiers during training. Since training on large
datasets is expensive, a model is trained once and re-used many times. Unlike
adversarial examples, backdoor attacks often target specific classes rather
than any class learned by the model. One might expect that targeting many
classes through a naive composition of attacks vastly increases the number of
poison samples. We show this is not necessarily true and more efficient,
universal data poisoning attacks exist that allow controlling
misclassifications from any source class into any target class with a small
increase in poison samples. Our idea is to generate triggers with salient
characteristics that the model can learn. The triggers we craft exploit a
phenomenon we call inter-class poison transferability, where learning a trigger
from one class makes the model more vulnerable to learning triggers for other
classes. We demonstrate the effectiveness and robustness of our universal
backdoor attacks by controlling models with up to 6,000 classes while poisoning
only 0.15% of the training dataset.
- Abstract(参考訳): Webスクレイプデータセットは、トレーニング中にディープイメージ分類器のバックドアとして使用できるデータ中毒に弱い。
大きなデータセットでのトレーニングは高価であるため、モデルは一度トレーニングされ、何度も再使用される。
敵の例とは異なり、バックドア攻撃はモデルによって学習されるどのクラスよりも特定のクラスをターゲットにすることが多い。
ナイーブな攻撃構成によって多くのクラスをターゲットにすると、毒物サンプルの数が大幅に増加すると期待できるかもしれない。
あらゆるソースクラスからターゲットクラスへの誤分類を、少量の毒素サンプルの増加で制御できるユニバーサルデータ中毒攻撃が存在する。
私たちのアイデアは、モデルが学習できる特性を持つトリガーを生成することです。
これは、あるクラスからトリガーを学習することで、モデルを他のクラスの学習トリガに対してより脆弱にするものです。
我々は、トレーニングデータセットのわずか0.1%を毒殺しながら、6,000クラスまでのモデルを制御することで、普遍的なバックドア攻撃の有効性と堅牢性を示す。
関連論文リスト
- NoiseAttack: An Evasive Sample-Specific Multi-Targeted Backdoor Attack Through White Gaussian Noise [0.19820694575112383]
ディープラーニング開発にサードパーティのデータを使用する場合、バックドア攻撃は重大な脅威となる。
我々は,新しいサンプル特異的なマルチターゲットバックドアアタック,すなわちNossAttackを紹介した。
この作業は、複数のターゲットクラスを生成する目的でビジョンバックドアアタックを起動する、この種の最初のものだ。
論文 参考訳(メタデータ) (2024-09-03T19:24:46Z) - Wicked Oddities: Selectively Poisoning for Effective Clean-Label Backdoor Attacks [11.390175856652856]
クリーンラベル攻撃は、毒性のあるデータのラベルを変更することなく攻撃を行うことができる、よりステルスなバックドア攻撃である。
本研究は,攻撃成功率を高めるために,標的クラス内の少数の訓練サンプルを選択的に毒殺する方法について検討した。
私たちの脅威モデルは、サードパーティのデータセットで機械学習モデルをトレーニングする上で深刻な脅威となる。
論文 参考訳(メタデータ) (2024-07-15T15:38:21Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Marksman Backdoor: Backdoor Attacks with Arbitrary Target Class [17.391987602738606]
近年、機械学習モデルはバックドア攻撃に弱いことが示されている。
この論文は、マークスマン(Marksman)と呼ばれるより強力なペイロードを持つ、新しいバックドア攻撃を利用する。
提案するフレームワークは,複数のベンチマークデータセットにおいてクリーンデータ性能を維持しつつ,高い攻撃性能を実現することを実証的に示す。
論文 参考訳(メタデータ) (2022-10-17T15:46:57Z) - Just Rotate it: Deploying Backdoor Attacks via Rotation Transformation [48.238349062995916]
回転に基づく画像変換により,高い効率のバックドアを容易に挿入できることが判明した。
私たちの研究は、バックドア攻撃のための、新しく、シンプルで、物理的に実現可能で、非常に効果的なベクターに焦点を当てています。
論文 参考訳(メタデータ) (2022-07-22T00:21:18Z) - Narcissus: A Practical Clean-Label Backdoor Attack with Limited
Information [22.98039177091884]
クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。
本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。
私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
論文 参考訳(メタデータ) (2022-04-11T16:58:04Z) - Textual Backdoor Attacks Can Be More Harmful via Two Simple Tricks [58.0225587881455]
本稿では,既存のテキストバックドア攻撃をより有害にするための2つの簡単な手法を見出す。
最初のトリックは、被害者モデルのトレーニング中に毒や清潔なデータを識別するための追加のトレーニングタスクを追加することです。
2つ目は、汚染データに対応する元のクリーンデータを削除するのではなく、すべてのクリーンなトレーニングデータを使用することである。
論文 参考訳(メタデータ) (2021-10-15T17:58:46Z) - Sleeper Agent: Scalable Hidden Trigger Backdoors for Neural Networks
Trained from Scratch [99.90716010490625]
バックドア攻撃者は、トレーニングデータを改ざんして、そのデータに基づいてトレーニングされたモデルに脆弱性を埋め込む。
この脆弱性は、モデル入力に"トリガー"を配置することで、推論時にアクティベートされる。
我々は,工芸過程において,勾配マッチング,データ選択,ターゲットモデル再トレーニングを利用した新しい隠れトリガ攻撃,Sleeper Agentを開発した。
論文 参考訳(メタデータ) (2021-06-16T17:09:55Z) - Manipulating SGD with Data Ordering Attacks [23.639512087220137]
基礎となるモデルデータセットやアーキテクチャを変更する必要のない,一連のトレーニングタイムアタックを提示する。
特に、アタッカーはトレーニングバッチをリオーダーするだけでモデルの完全性と可用性を損なう可能性がある。
攻撃は、攻撃後数百エポックというモデル性能を低下させるという長期的な影響をもたらす。
論文 参考訳(メタデータ) (2021-04-19T22:17:27Z) - Poisoned classifiers are not only backdoored, they are fundamentally
broken [84.67778403778442]
一般的に研究されている、分類モデルに対するバックドア中毒攻撃の下で、攻撃者はトレーニングデータのサブセットに小さなトリガーを追加する。
毒を盛った分類器は、引き金を持つ敵のみに弱いと推定されることが多い。
本稿では,このバックドア型分類器の考え方が誤りであることを実証的に示す。
論文 参考訳(メタデータ) (2020-10-18T19:42:44Z) - Clean-Label Backdoor Attacks on Video Recognition Models [87.46539956587908]
画像バックドア攻撃は、ビデオでははるかに効果が低いことを示す。
本稿では,映像認識モデルに対するバックドアトリガとして,ユニバーサル・ディバイサル・トリガーを提案する。
提案したバックドア攻撃は,最先端のバックドア防御・検出手法に耐性がある。
論文 参考訳(メタデータ) (2020-03-06T04:51:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。