論文の概要: Towards Backdoor Stealthiness in Model Parameter Space
- arxiv url: http://arxiv.org/abs/2501.05928v1
- Date: Fri, 10 Jan 2025 12:49:12 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-13 15:27:52.525534
- Title: Towards Backdoor Stealthiness in Model Parameter Space
- Title(参考訳): モデルパラメータ空間におけるバックドアの定常性に向けて
- Authors: Xiaoyun Xu, Zhuoran Liu, Stefanos Koffas, Stjepan Picek,
- Abstract要約: 入力空間や特徴空間のステルスネスに焦点をあてた12の一般的なバックドア攻撃と17の多様な代表防御について検討した。
入力および特徴空間攻撃は、現在のバックドア攻撃では十分に考慮されていないパラメータ空間に顕著なバックドア関連ニューロンをもたらす。
包括的ステルスネスを考慮して,Grondと呼ばれる新たなサプライチェーン攻撃を提案する。
- 参考スコア(独自算出の注目度): 15.622635751140384
- License:
- Abstract: Recent research on backdoor stealthiness focuses mainly on indistinguishable triggers in input space and inseparable backdoor representations in feature space, aiming to circumvent backdoor defenses that examine these respective spaces. However, existing backdoor attacks are typically designed to resist a specific type of backdoor defense without considering the diverse range of defense mechanisms. Based on this observation, we pose a natural question: Are current backdoor attacks truly a real-world threat when facing diverse practical defenses? To answer this question, we examine 12 common backdoor attacks that focus on input-space or feature-space stealthiness and 17 diverse representative defenses. Surprisingly, we reveal a critical blind spot: Backdoor attacks designed to be stealthy in input and feature spaces can be mitigated by examining backdoored models in parameter space. To investigate the underlying causes behind this common vulnerability, we study the characteristics of backdoor attacks in the parameter space. Notably, we find that input- and feature-space attacks introduce prominent backdoor-related neurons in parameter space, which are not thoroughly considered by current backdoor attacks. Taking comprehensive stealthiness into account, we propose a novel supply-chain attack called Grond. Grond limits the parameter changes by a simple yet effective module, Adversarial Backdoor Injection (ABI), which adaptively increases the parameter-space stealthiness during the backdoor injection. Extensive experiments demonstrate that Grond outperforms all 12 backdoor attacks against state-of-the-art (including adaptive) defenses on CIFAR-10, GTSRB, and a subset of ImageNet. In addition, we show that ABI consistently improves the effectiveness of common backdoor attacks.
- Abstract(参考訳): バックドアのステルスネスに関する最近の研究は、主に入力空間における区別不能なトリガーと特徴空間における分離不能なバックドア表現に焦点を当て、それぞれの空間を調べるバックドア防御を回避することを目的としている。
しかし、既存のバックドア攻撃は、様々な防御機構を考慮せずに、特定の種類のバックドア防御に抵抗するように設計されている。
現在のバックドア攻撃は、多様な実践的防御に直面しているとき、本当に現実世界の脅威なのだろうか?
そこで本研究では,入力空間や特徴空間のステルスネスに着目した12の一般的なバックドア攻撃と17の多様な代表的防御について検討する。
入力や特徴空間においてステルス性を持つように設計されたバックドア攻撃は、パラメータ空間内のバックドアモデルを調べることで軽減することができる。
この共通脆弱性の根本原因を明らかにするために,パラメータ空間におけるバックドア攻撃の特徴について検討した。
特に,入力空間と特徴空間の攻撃は,現在のバックドア攻撃では十分に考慮されていないパラメータ空間に顕著なバックドア関連ニューロンをもたらすことがわかった。
包括的ステルスネスを考慮して,Grondと呼ばれる新たなサプライチェーン攻撃を提案する。
Grondは、シンプルなが効果的なモジュールであるAdversarial Backdoor Injection (ABI)によってパラメータの変化を制限する。
大規模な実験では、GrondはCIFAR-10、GTSRB、およびImageNetのサブセットに対する12のバックドア攻撃(アダプティブを含む)に対して、すべてのバックドア攻撃より優れていた。
さらに,ABIは共通のバックドア攻撃の有効性を一貫して改善することを示した。
関連論文リスト
- Data Free Backdoor Attacks [83.10379074100453]
DFBAは、モデルアーキテクチャを変更することなく、リトレーニングフリーでデータフリーのバックドア攻撃である。
我々の注入されたバックドアは、様々な最先端の防御策によって、検出不可能で、検出不能であることを確認した。
複数のデータセットに対する評価では,1) 無視可能な分類損失,2) 攻撃成功率,3) 既存の6つの防御を回避している。
論文 参考訳(メタデータ) (2024-12-09T05:30:25Z) - BAN: Detecting Backdoors Activated by Adversarial Neuron Noise [30.243702765232083]
ディープラーニングに対するバックドア攻撃は、最近の研究コミュニティで大きな注目を集めている脅威である。
バックドアディフェンスは主にバックドアのインバージョンに基づいており、これは汎用的でモデルに依存しず、実用的な脅威シナリオに適用可能であることが示されている。
本稿では、追加のニューロンアクティベーション情報を導入して、バックドア検出のためのバックドア特徴インバージョンを改善する。
論文 参考訳(メタデータ) (2024-05-30T10:44:45Z) - Breaking the False Sense of Security in Backdoor Defense through Re-Activation Attack [32.74007523929888]
防衛後のバックドアモデルの特徴を再検討する。
既存の訓練後防衛戦略から派生した防衛モデルには,元のバックドアが現存していることが判明した。
我々は,これらの休眠バックドアを推論中に簡単に再活性化できることを実証的に示す。
論文 参考訳(メタデータ) (2024-05-25T08:57:30Z) - Mitigating Backdoor Attack by Injecting Proactive Defensive Backdoor [63.84477483795964]
データ中毒のバックドア攻撃は、機械学習モデルにとって深刻なセキュリティ上の脅威である。
本稿では,トレーニング中のバックドアディフェンスに着目し,データセットが有害になりうる場合でもクリーンなモデルをトレーニングすることを目的とした。
PDB(Proactive Defensive Backdoor)と呼ばれる新しい防衛手法を提案する。
論文 参考訳(メタデータ) (2024-05-25T07:52:26Z) - BELT: Old-School Backdoor Attacks can Evade the State-of-the-Art Defense with Backdoor Exclusivity Lifting [21.91491621538245]
本稿では,バックドア攻撃の新たな特徴,すなわちバックドア排他性について検討する。
バックドアの排他性は、入力変動の存在下で有効なバックドアトリガーの能力を測定する。
提案手法は, 従来の4つのバックドア攻撃のステルス性を大幅に向上させ, 攻撃成功率と通常の実用性にはほとんど費用がかからない。
論文 参考訳(メタデータ) (2023-12-08T08:35:16Z) - From Shortcuts to Triggers: Backdoor Defense with Denoised PoE [51.287157951953226]
言語モデルは、しばしば多様なバックドア攻撃、特にデータ中毒の危険にさらされる。
既存のバックドア防御手法は主に明示的なトリガーによるバックドア攻撃に焦点を当てている。
我々は,様々なバックドア攻撃を防御するために,エンド・ツー・エンドアンサンブルに基づくバックドア防御フレームワークDPoEを提案する。
論文 参考訳(メタデータ) (2023-05-24T08:59:25Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - BATT: Backdoor Attack with Transformation-based Triggers [72.61840273364311]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアの敵は、敵が特定したトリガーパターンによって活性化される隠れたバックドアを注入する。
最近の研究によると、既存の攻撃のほとんどは現実世界で失敗した。
論文 参考訳(メタデータ) (2022-11-02T16:03:43Z) - On Certifying Robustness against Backdoor Attacks via Randomized
Smoothing [74.79764677396773]
ランダム化平滑化法(ランダム化平滑化)と呼ばれる最近の手法を用いて,バックドア攻撃に対するロバスト性検証の有効性と有効性を検討した。
本研究は, バックドア攻撃に対するロバスト性を証明するために, ランダムな平滑化を用いた理論的実現可能性を示すものである。
既存の無作為な平滑化手法は、バックドア攻撃に対する防御効果に限界がある。
論文 参考訳(メタデータ) (2020-02-26T19:15:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。