論文の概要: Towards Clean-Label Backdoor Attacks in the Physical World
- arxiv url: http://arxiv.org/abs/2407.19203v1
- Date: Sat, 27 Jul 2024 08:13:07 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-30 19:21:07.446592
- Title: Towards Clean-Label Backdoor Attacks in the Physical World
- Title(参考訳): 物理界におけるクリーンラベルバックドア攻撃に向けて
- Authors: Thinh Dao, Cuong Chi Le, Khoa D Doan, Kok-Seng Wong,
- Abstract要約: 物理的世界におけるクリーンラベルバックドア攻撃の脅威について検討する。
物理的攻撃の成功は、毒殺アルゴリズム、物理的トリガー、およびソースターゲットクラスのペアに依存する。
標準的な$ell_infty$正規化を新しいピクセル正規化に置き換えることを提案する。
- 参考スコア(独自算出の注目度): 5.924780594614676
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Deep Neural Networks (DNNs) are vulnerable to backdoor poisoning attacks, with most research focusing on digital triggers, special patterns digitally added to test-time inputs to induce targeted misclassification. In contrast, physical triggers, which are natural objects within a physical scene, have emerged as a desirable alternative since they enable real-time backdoor activations without digital manipulation. However, current physical attacks require that poisoned inputs have incorrect labels, making them easily detectable upon human inspection. In this paper, we collect a facial dataset of 21,238 images with 7 common accessories as triggers and use it to study the threat of clean-label backdoor attacks in the physical world. Our study reveals two findings. First, the success of physical attacks depends on the poisoning algorithm, physical trigger, and the pair of source-target classes. Second, although clean-label poisoned samples preserve ground-truth labels, their perceptual quality could be seriously degraded due to conspicuous artifacts in the images. Such samples are also vulnerable to statistical filtering methods because they deviate from the distribution of clean samples in the feature space. To address these issues, we propose replacing the standard $\ell_\infty$ regularization with a novel pixel regularization and feature regularization that could enhance the imperceptibility of poisoned samples without compromising attack performance. Our study highlights accidental backdoor activations as a key limitation of clean-label physical backdoor attacks. This happens when unintended objects or classes accidentally cause the model to misclassify as the target class.
- Abstract(参考訳): ディープニューラルネットワーク(DNN)は、バックドアの毒殺攻撃に対して脆弱であり、ほとんどの研究はデジタルトリガー、ターゲットの誤分類を誘発するテスト時間入力にデジタルに付加される特別なパターンに焦点を当てている。
対照的に、物理的なシーン内の自然な物体である物理的なトリガーは、デジタル操作なしでリアルタイムのバックドアアクティベーションを可能にするため、望ましい代替手段として現れてきた。
しかし、現在の物理的攻撃では、有毒な入力が誤ったラベルを持つ必要があるため、人間の検査で容易に検出できる。
本稿では,7つの共通アクセサリーをトリガーとした21,238枚の顔画像のデータセットを収集し,それを用いて,物理世界におけるクリーンラベルバックドア攻撃の脅威について検討する。
私たちの研究は2つの発見を公表した。
まず、物理的攻撃の成功は、毒殺アルゴリズム、物理的トリガー、およびソースターゲットクラスのペアに依存する。
第二に、クリーンラベルの有毒なサンプルは、地味のラベルを保存しているが、その知覚的品質は、画像の顕著なアーティファクトによって著しく劣化する可能性がある。
このようなサンプルは、特徴空間におけるクリーンサンプルの分布から逸脱するため、統計的フィルタリング法にも脆弱である。
これらの問題に対処するために、標準的な$\ell_\infty$正規化を新しいピクセル正規化と特徴正規化に置き換えることを提案する。
本研究は,クリーンラベルの物理的バックドア攻撃の鍵となる,偶然のバックドアアクティベーションに注目した。
これは意図しないオブジェクトやクラスが誤ってモデルをターゲットクラスと誤分類させた場合に発生する。
関連論文リスト
- Poisoned Forgery Face: Towards Backdoor Attacks on Face Forgery
Detection [62.595450266262645]
本稿では,バックドア攻撃による顔偽造検出の新たな脅威について紹介する。
バックドアをモデルに埋め込むことで、攻撃者は検知器を騙して偽造された顔の誤予測を発生させることができる。
我々は,顔偽造検知器に対するクリーンラベルバックドア攻撃を可能にするemphPoisoned Forgery Faceフレームワークを提案する。
論文 参考訳(メタデータ) (2024-02-18T06:31:05Z) - UltraClean: A Simple Framework to Train Robust Neural Networks against Backdoor Attacks [19.369701116838776]
バックドア攻撃は、ディープニューラルネットワークに対する脅威を生じさせている。
彼らは通常、毒を盛ったサンプルを注入することで、悪意のある行動を被害者のモデルに埋め込む。
有毒試料の同定を簡略化する枠組みであるUltraCleanを提案する。
論文 参考訳(メタデータ) (2023-12-17T09:16:17Z) - Exploring Model Dynamics for Accumulative Poisoning Discovery [62.08553134316483]
そこで我々は,モデルレベルの情報を通して,防衛を探索するための新しい情報尺度,すなわち,記憶の離散性(Memorization Discrepancy)を提案する。
暗黙的にデータ操作の変更をモデル出力に転送することで、メモリ識別は許容できない毒のサンプルを発見することができる。
我々は、その性質を徹底的に探求し、累積中毒に対する防御のために、離散型サンプル補正(DSC)を提案する。
論文 参考訳(メタデータ) (2023-06-06T14:45:24Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。
最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
論文 参考訳(メタデータ) (2022-11-02T16:03:43Z) - Just Rotate it: Deploying Backdoor Attacks via Rotation Transformation [48.238349062995916]
回転に基づく画像変換により,高い効率のバックドアを容易に挿入できることが判明した。
私たちの研究は、バックドア攻撃のための、新しく、シンプルで、物理的に実現可能で、非常に効果的なベクターに焦点を当てています。
論文 参考訳(メタデータ) (2022-07-22T00:21:18Z) - Narcissus: A Practical Clean-Label Backdoor Attack with Limited
Information [22.98039177091884]
クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。
本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。
私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
論文 参考訳(メタデータ) (2022-04-11T16:58:04Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - Backdoor Attacks Against Deep Learning Systems in the Physical World [23.14528973663843]
実世界の様々な条件下での物理的バックドア攻撃の実現可能性について検討した。
物理的なオブジェクトが課す制約を克服するように慎重に設定されている場合、物理的なバックドア攻撃は高い成功を収める。
今日の(デジタル)バックドアに対する最先端の防御のうち4つは、物理的なバックドアに対して効果がない。
論文 参考訳(メタデータ) (2020-06-25T17:26:20Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。