論文の概要: Towards Sample-specific Backdoor Attack with Clean Labels via Attribute
Trigger
- arxiv url: http://arxiv.org/abs/2312.04584v2
- Date: Mon, 11 Dec 2023 03:12:36 GMT
- ステータス: 処理完了
- システム内更新日: 2023-12-12 21:56:08.078705
- Title: Towards Sample-specific Backdoor Attack with Clean Labels via Attribute
Trigger
- Title(参考訳): 属性トリガによるクリーンラベルによるサンプル固有のバックドア攻撃に向けて
- Authors: Yiming Li, Mingyan Zhu, Junfeng Guo, Tao Wei, Shu-Tao Xia, Zhan Qin
- Abstract要約: サンプル特異的バックドアアタック (SSBA) は, 有毒なラベルの性質のため, 十分にステルス性がないことを示す。
クリーンラベルのSSBAを設計するためのトリガパターンとして,コンテンツ関連機能である$a.k.a.$(ヒューマン信頼性)属性を活用することを提案する。
- 参考スコア(独自算出の注目度): 60.91713802579101
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Currently, sample-specific backdoor attacks (SSBAs) are the most advanced and
malicious methods since they can easily circumvent most of the current backdoor
defenses. In this paper, we reveal that SSBAs are not sufficiently stealthy due
to their poisoned-label nature, where users can discover anomalies if they
check the image-label relationship. In particular, we demonstrate that it is
ineffective to directly generalize existing SSBAs to their clean-label variants
by poisoning samples solely from the target class. We reveal that it is
primarily due to two reasons, including \textbf{(1)} the `antagonistic effects'
of ground-truth features and \textbf{(2)} the learning difficulty of
sample-specific features. Accordingly, trigger-related features of existing
SSBAs cannot be effectively learned under the clean-label setting due to their
mild trigger intensity required for ensuring stealthiness. We argue that the
intensity constraint of existing SSBAs is mostly because their trigger patterns
are `content-irrelevant' and therefore act as `noises' for both humans and
DNNs. Motivated by this understanding, we propose to exploit content-relevant
features, $a.k.a.$ (human-relied) attributes, as the trigger patterns to design
clean-label SSBAs. This new attack paradigm is dubbed backdoor attack with
attribute trigger (BAAT). Extensive experiments are conducted on benchmark
datasets, which verify the effectiveness of our BAAT and its resistance to
existing defenses.
- Abstract(参考訳): 現在、サンプル特異的バックドア攻撃(SSBA)は、現在のバックドア防御のほとんどを簡単に回避できるため、最も先進的で悪意のある方法である。
本稿では, SSBAが有毒ラベルの性質上, 画像とラベルの関係をチェックすると, 異常を発見できるため, 十分にステルス性がないことを明らかにした。
特に,ターゲットクラスからのみサンプルを毒殺することにより,既存のssbaをクリーンラベルに直接一般化することは効果的ではないことを実証する。
本研究は, 主に, 接地構造の特徴の「反抗効果」と, サンプル固有特徴の学習困難さの2つの理由から, その原因を明らかにした。
したがって、既存のSSBAのトリガー関連特徴は、ステルス性を確保するために必要な軽度のトリガー強度のため、クリーンラベル設定下では効果的に学習できない。
既存のSSBAの強度制約は、主にトリガーパターンが「連続的無関係」であるため、人間とDNNの両方にとって「ノイズ」となるためである。
この理解により、クリーンラベルのSSBAを設計するためのトリガパターンとして、コンテンツ関連機能である$a.k.a.$(人間信頼性)属性を活用することを提案する。
この新しい攻撃パラダイムはバックドアアタック(backdoor attack with attribute trigger, baat)と呼ばれている。
ベンチマークデータセットで広範な実験を行い、baatの有効性と既存の防御に対する耐性を検証する。
関連論文リスト
- CBPF: Filtering Poisoned Data Based on Composite Backdoor Attack [11.815603563125654]
本稿では, 汚染試料のろ過を調べた結果, バックドア攻撃のリスク軽減策について検討した。
CBPF (Composite Backdoor Poison Filtering) と呼ばれる新しい3段階毒素データフィルタリング手法が有効な解法として提案されている。
論文 参考訳(メタデータ) (2024-06-23T14:37:24Z) - Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。
拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。
MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
論文 参考訳(メタデータ) (2024-05-01T12:03:39Z) - Shortcuts Arising from Contrast: Effective and Covert Clean-Label Attacks in Prompt-Based Learning [40.130762098868736]
本稿では、アクティベーション値を活用し、トリガ設計とデータ選択戦略を統合して、より強力なショートカット機能を実現するContrastive Shortcut Injection (CSI) を提案する。
フルショットおよび少数ショットのテキスト分類タスクに関する広範な実験により、CSIの高有効性と高い盗聴性を低毒性率で実証的に検証した。
論文 参考訳(メタデータ) (2024-03-30T20:02:36Z) - Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。
本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。
この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文 参考訳(メタデータ) (2023-12-31T06:43:36Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - SATBA: An Invisible Backdoor Attack Based On Spatial Attention [7.405457329942725]
バックドア攻撃には、隠れたトリガーパターンを含むデータセットに対するDeep Neural Network(DNN)のトレーニングが含まれる。
既存のバックドア攻撃のほとんどは、2つの重大な欠点に悩まされている。
空間的注意とU-netモデルを用いてこれらの制限を克服するSATBAという新しいバックドアアタックを提案する。
論文 参考訳(メタデータ) (2023-02-25T10:57:41Z) - CASSOCK: Viable Backdoor Attacks against DNN in The Wall of
Source-Specific Backdoor Defences [29.84771472633627]
バックドア攻撃はディープニューラルネットワーク(DNN)にとって重要な脅威だった
既存のほとんどの対策はソース非依存のバックドアアタック(SABA)に焦点を当てており、ソース固有のバックドアアタック(SSBA)を倒さない。
論文 参考訳(メタデータ) (2022-05-31T23:09:35Z) - On Trace of PGD-Like Adversarial Attacks [77.75152218980605]
敵対的攻撃は、ディープラーニングアプリケーションに対する安全性とセキュリティ上の懸念を引き起こす。
モデルの勾配一貫性を反映した適応応答特性(ARC)特性を構築する。
私たちの方法は直感的で、軽量で、非侵襲的で、データ不要です。
論文 参考訳(メタデータ) (2022-05-19T14:26:50Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。