論文の概要: Towards Clean-Label Backdoor Attacks in the Physical World

• arxiv url: http://arxiv.org/abs/2407.19203v1
• Date: Sat, 27 Jul 2024 08:13:07 GMT
• ステータス: 処理完了
• システム内更新日: 2024-07-30 19:21:07.446592
• Title: Towards Clean-Label Backdoor Attacks in the Physical World
• Title（参考訳）: 物理界におけるクリーンラベルバックドア攻撃に向けて
• Authors: Thinh Dao, Cuong Chi Le, Khoa D Doan, Kok-Seng Wong,
• Abstract要約: 物理的世界におけるクリーンラベルバックドア攻撃の脅威について検討する。 物理的攻撃の成功は、毒殺アルゴリズム、物理的トリガー、およびソースターゲットクラスのペアに依存する。 標準的な$ell_infty$正規化を新しいピクセル正規化に置き換えることを提案する。
• 参考スコア（独自算出の注目度）: 5.924780594614676
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Deep Neural Networks (DNNs) are vulnerable to backdoor poisoning attacks, with most research focusing on digital triggers, special patterns digitally added to test-time inputs to induce targeted misclassification. In contrast, physical triggers, which are natural objects within a physical scene, have emerged as a desirable alternative since they enable real-time backdoor activations without digital manipulation. However, current physical attacks require that poisoned inputs have incorrect labels, making them easily detectable upon human inspection. In this paper, we collect a facial dataset of 21,238 images with 7 common accessories as triggers and use it to study the threat of clean-label backdoor attacks in the physical world. Our study reveals two findings. First, the success of physical attacks depends on the poisoning algorithm, physical trigger, and the pair of source-target classes. Second, although clean-label poisoned samples preserve ground-truth labels, their perceptual quality could be seriously degraded due to conspicuous artifacts in the images. Such samples are also vulnerable to statistical filtering methods because they deviate from the distribution of clean samples in the feature space. To address these issues, we propose replacing the standard $\ell_\infty$ regularization with a novel pixel regularization and feature regularization that could enhance the imperceptibility of poisoned samples without compromising attack performance. Our study highlights accidental backdoor activations as a key limitation of clean-label physical backdoor attacks. This happens when unintended objects or classes accidentally cause the model to misclassify as the target class.
• Abstract（参考訳）: ディープニューラルネットワーク(DNN)は、バックドアの毒殺攻撃に対して脆弱であり、ほとんどの研究はデジタルトリガー、ターゲットの誤分類を誘発するテスト時間入力にデジタルに付加される特別なパターンに焦点を当てている。 対照的に、物理的なシーン内の自然な物体である物理的なトリガーは、デジタル操作なしでリアルタイムのバックドアアクティベーションを可能にするため、望ましい代替手段として現れてきた。 しかし、現在の物理的攻撃では、有毒な入力が誤ったラベルを持つ必要があるため、人間の検査で容易に検出できる。 本稿では,7つの共通アクセサリーをトリガーとした21,238枚の顔画像のデータセットを収集し,それを用いて,物理世界におけるクリーンラベルバックドア攻撃の脅威について検討する。 私たちの研究は2つの発見を公表した。 まず、物理的攻撃の成功は、毒殺アルゴリズム、物理的トリガー、およびソースターゲットクラスのペアに依存する。 第二に、クリーンラベルの有毒なサンプルは、地味のラベルを保存しているが、その知覚的品質は、画像の顕著なアーティファクトによって著しく劣化する可能性がある。 このようなサンプルは、特徴空間におけるクリーンサンプルの分布から逸脱するため、統計的フィルタリング法にも脆弱である。 これらの問題に対処するために、標準的な$\ell_\infty$正規化を新しいピクセル正規化と特徴正規化に置き換えることを提案する。 本研究は,クリーンラベルの物理的バックドア攻撃の鍵となる,偶然のバックドアアクティベーションに注目した。 これは意図しないオブジェクトやクラスが誤ってモデルをターゲットクラスと誤分類させた場合に発生する。

関連論文リスト

• Attention-Enhancing Backdoor Attacks Against BERT-based Models [54.070555070629105]
  バックドア攻撃の戦略を調べることは、モデルの脆弱性を理解するのに役立つだろう。 本稿では,注意パターンを直接操作することでトロイの木馬行動を向上させる新しいトロイの木馬注意損失(TAL)を提案する。
  論文  参考訳（メタデータ） (2023-10-23T01:24:56Z)
• Untargeted Backdoor Attack against Object Detection [69.63097724439886]
  我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。 攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
  論文  参考訳（メタデータ） (2022-11-02T17:05:45Z)
• BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
  ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。 バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。 最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
  論文  参考訳（メタデータ） (2022-11-02T16:03:43Z)
• Kallima: A Clean-label Framework for Textual Backdoor Attacks [25.332731545200808]
  マイメシススタイルのバックドアサンプルを合成するための,最初のクリーンラベルフレームワークKallimaを提案する。 我々は,対象クラスに属する入力を逆方向の摂動で修正し,モデルがバックドアトリガに依存するようにした。
  論文  参考訳（メタデータ） (2022-06-03T21:44:43Z)
• Narcissus: A Practical Clean-Label Backdoor Attack with Limited Information [22.98039177091884]
  クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。 本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。 私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
  論文  参考訳（メタデータ） (2022-04-11T16:58:04Z)
• Dangerous Cloaking: Natural Trigger based Backdoor Attacks on Object Detectors in the Physical World [20.385028861767218]
  この研究は、既存の物体検出器が物理的バックドア攻撃の影響を受けやすいことを実証している。 このようなバックドアを2つの悪用可能な攻撃シナリオからオブジェクト検出器に埋め込むことができることを示す。 我々は, アンカーベースYolo-V3, Yolo-V4, アンカーフリーCenterNetの3つの人気物体検出アルゴリズムを評価する。
  論文  参考訳（メタデータ） (2022-01-21T10:11:27Z)
• Turn the Combination Lock: Learnable Textual Backdoor Attacks via Word Substitution [57.51117978504175]
  最近の研究では、ニューラルネットワーク処理(NLP)モデルがバックドア攻撃に弱いことが示されている。 バックドアを注入すると、モデルは通常、良質な例で実行されるが、バックドアがアクティブになったときに攻撃者が特定した予測を生成する。 単語置換の学習可能な組み合わせによって活性化される見えないバックドアを提示する。
  論文  参考訳（メタデータ） (2021-06-11T13:03:17Z)
• Backdoor Attack in the Physical World [49.64799477792172]
  ディープニューラルネットワーク(DNN)に隠れたバックドアを注入するバックドア攻撃 既存のバックドア攻撃のほとんどは、トレーニングおよびテスト画像にまたがる静的トリガ、すなわち$$トリガの設定を採用した。 テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、この攻撃パラダイムは脆弱であることを示す。
  論文  参考訳（メタデータ） (2021-04-06T08:37:33Z)
• Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
  Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。 我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。 実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
  論文  参考訳（メタデータ） (2021-03-06T05:50:29Z)
• Backdoor Attacks Against Deep Learning Systems in the Physical World [23.14528973663843]
  実世界の様々な条件下での物理的バックドア攻撃の実現可能性について検討した。 物理的なオブジェクトが課す制約を克服するように慎重に設定されている場合、物理的なバックドア攻撃は高い成功を収める。 今日の(デジタル)バックドアに対する最先端の防御のうち4つは、物理的なバックドアに対して効果がない。
  論文  参考訳（メタデータ） (2020-06-25T17:26:20Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。