論文の概要: FFCBA: Feature-based Full-target Clean-label Backdoor Attacks
- arxiv url: http://arxiv.org/abs/2504.21054v1
- Date: Tue, 29 Apr 2025 05:49:42 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-09 23:58:15.594381
- Title: FFCBA: Feature-based Full-target Clean-label Backdoor Attacks
- Title(参考訳): FFCBA: フルターゲットのクリーンラベルバックドア攻撃
- Authors: Yangxu Yin, Honglong Chen, Yudong Gao, Peng Sun, Liantao Wu, Zhe Li, Weifeng Liu,
- Abstract要約: バックドア攻撃はディープニューラルネットワークに重大な脅威をもたらす。
汚染されたサンプルのラベルの変更を避けるため、クリーンラベル攻撃はよりステルス性が高い。
FFCBA(Full-target Clean-label Backdoor Attacks)を提案する。
- 参考スコア(独自算出の注目度): 10.650796825194337
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Backdoor attacks pose a significant threat to deep neural networks, as backdoored models would misclassify poisoned samples with specific triggers into target classes while maintaining normal performance on clean samples. Among these, multi-target backdoor attacks can simultaneously target multiple classes. However, existing multi-target backdoor attacks all follow the dirty-label paradigm, where poisoned samples are mislabeled, and most of them require an extremely high poisoning rate. This makes them easily detectable by manual inspection. In contrast, clean-label attacks are more stealthy, as they avoid modifying the labels of poisoned samples. However, they generally struggle to achieve stable and satisfactory attack performance and often fail to scale effectively to multi-target attacks. To address this issue, we propose the Feature-based Full-target Clean-label Backdoor Attacks (FFCBA) which consists of two paradigms: Feature-Spanning Backdoor Attacks (FSBA) and Feature-Migrating Backdoor Attacks (FMBA). FSBA leverages class-conditional autoencoders to generate noise triggers that align perturbed in-class samples with the original category's features, ensuring the effectiveness, intra-class consistency, inter-class specificity and natural-feature correlation of triggers. While FSBA supports swift and efficient attacks, its cross-model attack capability is relatively weak. FMBA employs a two-stage class-conditional autoencoder training process that alternates between using out-of-class samples and in-class samples. This allows FMBA to generate triggers with strong target-class features, making it highly effective for cross-model attacks. We conduct experiments on multiple datasets and models, the results show that FFCBA achieves outstanding attack performance and maintains desirable robustness against the state-of-the-art backdoor defenses.
- Abstract(参考訳): バックドア攻撃はディープニューラルネットワークに重大な脅威をもたらす。バックドアモデルでは、汚染されたサンプルを特定のトリガーをターゲットクラスに誤分類し、クリーンなサンプルの正常なパフォーマンスを維持する。
このうち、複数ターゲットのバックドア攻撃は同時に複数のクラスをターゲットにすることができる。
しかし、既存の複数ターゲットのバックドア攻撃は、すべて汚染されたサンプルが誤ってラベル付けされている汚いラベルのパラダイムに従っており、そのほとんどは非常に高い中毒率を必要とする。
これにより手動検査で容易に検出できる。
対照的に、汚染されたサンプルのラベルの変更を避けるため、クリーンラベル攻撃はよりステルス性が高い。
しかし、彼らは一般的に安定的で満足な攻撃性能を達成するのに苦労し、しばしばマルチターゲット攻撃に対して効果的にスケールできない。
本稿では,FSBA(Feature-Spanning Backdoor Attacks)とFMBA(Feature-Migrating Backdoor Attacks)の2つのパラダイムからなる,FFCBA(Feature-based Full-target Clean-label Backdoor Attacks)を提案する。
FSBAは、クラス条件オートエンコーダを活用して、クラス内の摂動サンプルと元のカテゴリの特徴を一致させるノイズトリガーを生成し、有効性、クラス内の一貫性、クラス間の特異性、トリガーの自然な相関を保証する。
FSBAは迅速かつ効率的な攻撃をサポートしているが、クロスモデル攻撃能力は比較的弱い。
FMBAは、クラス外のサンプルとクラス内のサンプルを交互に使用する2段階の条件付きオートエンコーダトレーニングプロセスを採用している。
これによりFMBAは強力なターゲットクラス機能を持つトリガーを生成することができ、クロスモデルアタックに非常に効果的である。
この結果から,FFCBAは優れた攻撃性能を達成し,最先端のバックドア防御に対する望ましい堅牢性を維持していることが明らかとなった。
関連論文リスト
- SFIBA: Spatial-based Full-target Invisible Backdoor Attacks [9.124060365358748]
マルチターゲットバックドア攻撃は、ディープニューラルネットワークに重大なセキュリティ脅威をもたらす。
本研究では,SFIBAと呼ばれる空間的対象の視覚的バックドア攻撃を提案する。
SFIBAは、良質なサンプルに対してモデルの性能を保ちながら、優れた攻撃性能とステルスネスを達成することができることを示す。
論文 参考訳(メタデータ) (2025-04-29T05:28:12Z) - ELBA-Bench: An Efficient Learning Backdoor Attacks Benchmark for Large Language Models [55.93380086403591]
生成可能な大規模言語モデルは、バックドアアタックに対して脆弱である。
$textitELBA-Bench$は、パラメータを効率的に微調整することで攻撃者がバックドアを注入できるようにする。
$textitELBA-Bench$は1300以上の実験を提供する。
論文 参考訳(メタデータ) (2025-02-22T12:55:28Z) - NoiseAttack: An Evasive Sample-Specific Multi-Targeted Backdoor Attack Through White Gaussian Noise [0.19820694575112383]
ディープラーニング開発にサードパーティのデータを使用する場合、バックドア攻撃は重大な脅威となる。
我々は,新しいサンプル特異的なマルチターゲットバックドアアタック,すなわちNossAttackを紹介した。
この作業は、複数のターゲットクラスを生成する目的でビジョンバックドアアタックを起動する、この種の最初のものだ。
論文 参考訳(メタデータ) (2024-09-03T19:24:46Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - Protecting Model Adaptation from Trojans in the Unlabeled Data [120.42853706967188]
本稿では,よく設計された毒物標的データによるモデル適応に対するトロイの木馬攻撃の可能性について検討する。
本稿では,既存の適応アルゴリズムとシームレスに統合可能なDiffAdaptというプラグイン・アンド・プレイ手法を提案する。
論文 参考訳(メタデータ) (2024-01-11T16:42:10Z) - Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。
本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。
この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文 参考訳(メタデータ) (2023-12-31T06:43:36Z) - FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning
Attacks in Federated Learning [98.43475653490219]
フェデレート・ラーニング(Federated Learning, FL)は、毒素による攻撃を受けやすい。
FreqFedは、モデルの更新を周波数領域に変換する新しいアグリゲーションメカニズムである。
FreqFedは, 凝集モデルの有用性に悪影響を及ぼすことなく, 毒性攻撃を効果的に軽減できることを実証した。
論文 参考訳(メタデータ) (2023-12-07T16:56:24Z) - Towards Sample-specific Backdoor Attack with Clean Labels via Attribute Trigger [57.48983433438498]
サンプル特異的バックドアアタック (SSBA) は, 有毒なラベルの性質のため, 十分にステルス性がないことを示す。
クリーンラベルのSSBAを設計するためのトリガパターンとして,コンテンツ関連機能である$a.k.a.$(ヒューマン信頼性)属性を活用することを提案する。
論文 参考訳(メタデータ) (2023-12-03T09:12:14Z) - Marksman Backdoor: Backdoor Attacks with Arbitrary Target Class [17.391987602738606]
近年、機械学習モデルはバックドア攻撃に弱いことが示されている。
この論文は、マークスマン(Marksman)と呼ばれるより強力なペイロードを持つ、新しいバックドア攻撃を利用する。
提案するフレームワークは,複数のベンチマークデータセットにおいてクリーンデータ性能を維持しつつ,高い攻撃性能を実現することを実証的に示す。
論文 参考訳(メタデータ) (2022-10-17T15:46:57Z) - Under-confidence Backdoors Are Resilient and Stealthy Backdoors [35.57996363193643]
バックドア攻撃は、被害者モデルが事前に設計されたバックドアで注入された任意の入力に対して設計された出力を生成することを目的としている。
高攻撃成功率を達成するため、既存の攻撃手法のほとんどは、汚染されたサンプルのラベルをターゲットクラスに変更している。
この慣行は、しばしば被害者モデルをバックドアに過度に適合させ、攻撃は出力制御に非常に効果的であるが、人間の検査や自動防御アルゴリズムによって容易に識別できる。
論文 参考訳(メタデータ) (2022-02-19T01:31:41Z) - Post-Training Detection of Backdoor Attacks for Two-Class and
Multi-Attack Scenarios [22.22337220509128]
バックドア攻撃(BA)は、ディープニューラルネットワーク分類器に対する新たな脅威である。
本稿では,BPリバースエンジニアリングに基づく検出フレームワークを提案する。
論文 参考訳(メタデータ) (2022-01-20T22:21:38Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。