論文の概要: 3S-Attack: Spatial, Spectral and Semantic Invisible Backdoor Attack Against DNN Models

• arxiv url: http://arxiv.org/abs/2507.10733v1
• Date: Mon, 14 Jul 2025 18:56:55 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-16 19:46:02.847906
• Title: 3S-Attack: Spatial, Spectral and Semantic Invisible Backdoor Attack Against DNN Models
• Title（参考訳）: 3S-Attack:DNNモデルに対する空間的・スペクトル的・意味的不可視的バックドア攻撃
• Authors: Jianyao Yin, Luca Arnaboldi, Honglong Chen, Pascal Berrang,
• Abstract要約: 本研究では,空間的,スペクトル的,意味的な領域にまたがる3Sアタックと呼ばれる新たなバックドアアタックを提案する。 トリガーはスペクトル領域に埋め込まれ、サンプルを空間領域に戻すとピクセルレベルの制限が続く。 このプロセスは、汚染されたサンプルと良性サンプルの間の距離を最小化し、既存の防御や人間の検査によって攻撃を検知しにくくする。
• 参考スコア（独自算出の注目度）: 5.4709581147709985
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Backdoor attacks involve either poisoning the training data or directly modifying the model in order to implant a hidden behavior, that causes the model to misclassify inputs when a specific trigger is present. During inference, the model maintains high accuracy on benign samples but misclassifies poisoned samples into an attacker-specified target class. Existing research on backdoor attacks has explored developing triggers in the spatial, spectral (frequency), and semantic (feature) domains, aiming to make them stealthy. While some approaches have considered designing triggers that are imperceptible in both spatial and spectral domains, few have incorporated the semantic domain. In this paper, we propose a novel backdoor attack, termed 3S-attack, which is stealthy across the spatial, spectral, and semantic domains. The key idea is to exploit the semantic features of benign samples as triggers, using Gradient-weighted Class Activation Mapping (Grad-CAM) and a preliminary model for extraction. The trigger is then embedded in the spectral domain, followed by pixel-level restrictions after converting the samples back to the spatial domain. This process minimizes the distance between poisoned and benign samples, making the attack harder to detect by existing defenses and human inspection. Extensive experiments on various datasets, along with theoretical analysis, demonstrate the stealthiness of 3S-attack and highlight the need for stronger defenses to ensure AI security. Our code is available at: https://anonymous.4open.science/r/anon-project-3776/
• Abstract（参考訳）: バックドアアタックは、トレーニングデータを汚染したり、隠れた振る舞いを埋め込むためにモデルを直接修正したりする。 推論中、モデルは良性サンプルの精度を維持するが、有毒なサンプルを攻撃者が特定したターゲットクラスに誤分類する。 バックドア攻撃に関する既存の研究は、空間、スペクトル(周波数)、意味(機能)ドメインにおけるトリガーの開発を検討し、それらをステルスすることを目指している。 空間領域とスペクトル領域の両方で認識できないトリガーを設計することを考えるアプローチもあるが、意味領域を組み込んだものはほとんどない。 本稿では,空間,スペクトル,セマンティックドメインにまたがってステルスな3Sアタックと呼ばれる新しいバックドアアタックを提案する。 鍵となるアイデアは、グラディエント重み付きクラスアクティベーションマッピング(Grad-CAM)と抽出のための予備モデルを使用して、良質なサンプルのセマンティックな特徴をトリガーとして活用することである。 トリガーはスペクトル領域に埋め込まれ、その後サンプルを空間領域に戻すとピクセルレベルの制限が続く。 このプロセスは、汚染されたサンプルと良性サンプルの間の距離を最小化し、既存の防御や人間の検査によって攻撃を検知しにくくする。 さまざまなデータセットに関する大規模な実験と理論分析は、3S攻撃のステルス性を示し、AIのセキュリティを確保するための強力な防御の必要性を強調している。 私たちのコードは、https://anonymous.4open.science/r/anon-project-3776/で利用可能です。

関連論文リスト

• SFIBA: Spatial-based Full-target Invisible Backdoor Attacks [9.124060365358748]
  マルチターゲットバックドア攻撃は、ディープニューラルネットワークに重大なセキュリティ脅威をもたらす。 本研究では,SFIBAと呼ばれる空間的対象の視覚的バックドア攻撃を提案する。 SFIBAは、良質なサンプルに対してモデルの性能を保ちながら、優れた攻撃性能とステルスネスを達成することができることを示す。
  論文  参考訳（メタデータ） (2025-04-29T05:28:12Z)
• Hard-Label Black-Box Attacks on 3D Point Clouds [66.52447238776482]
  そこで本研究では,新しいスペクトル認識決定境界アルゴリズムに基づく新しい3D攻撃手法を提案する。 実験により,攻撃性能と対向品質の点で,既存の白黒ボックス攻撃者よりも競合性が高いことが示された。
  論文  参考訳（メタデータ） (2024-11-30T09:05:02Z)
• An Invisible Backdoor Attack Based On Semantic Feature [0.0]
  過去数年間、バックドア攻撃はディープニューラルネットワーク(DNN)モデルに深刻な脅威を与えてきた。 我々は、新しいバックドア攻撃を提案し、不可避な変更を行う。 我々は3つの画像分類データセットに対する攻撃を評価した。
  論文  参考訳（メタデータ） (2024-05-19T13:50:40Z)
• ParaFuzz: An Interpretability-Driven Technique for Detecting Poisoned Samples in NLP [29.375957205348115]
  本稿では,モデル予測の解釈可能性に着目した,革新的な試験時間有毒サンプル検出フレームワークを提案する。 我々は、最先端の大規模言語モデルであるChatGPTをパラフレーズとして使用し、迅速なエンジニアリング問題としてトリガー除去タスクを定式化する。
  論文  参考訳（メタデータ） (2023-08-04T03:48:28Z)
• Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
  ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。 バックドアアタックは、訓練段階の脅威を脅かしている。 軽度で目に見えないバックドアアタック(SIBA)を提案する。
  論文  参考訳（メタデータ） (2023-05-11T10:05:57Z)
• Mask and Restore: Blind Backdoor Defense at Test Time with Masked Autoencoder [57.739693628523]
  Masked AutoEncoder (BDMAE) を用いたブラインドバックドア防御のためのフレームワークを提案する。 BDMAEは、画像構造的類似性とテスト画像とMAE復元の間のラベル整合性を用いて、トークン空間で可能なトリガを検出する。 私たちのアプローチは、モデル復元、パターンのトリガー、画像の良心に盲目です。
  論文  参考訳（メタデータ） (2023-03-27T19:23:33Z)
• SATBA: An Invisible Backdoor Attack Based On Spatial Attention [7.405457329942725]
  バックドア攻撃には、隠れたトリガーパターンを含むデータセットに対するDeep Neural Network(DNN)のトレーニングが含まれる。 既存のバックドア攻撃のほとんどは、2つの重大な欠点に悩まされている。 空間的注意とU-netモデルを用いてこれらの制限を克服するSATBAという新しいバックドアアタックを提案する。
  論文  参考訳（メタデータ） (2023-02-25T10:57:41Z)
• Untargeted Backdoor Attack against Object Detection [69.63097724439886]
  我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。 攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
  論文  参考訳（メタデータ） (2022-11-02T17:05:45Z)
• Black-box Detection of Backdoor Attacks with Limited Information and Data [56.0735480850555]
  モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。 バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
  論文  参考訳（メタデータ） (2021-03-24T12:06:40Z)
• Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
  Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。 我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。 実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
  論文  参考訳（メタデータ） (2021-03-06T05:50:29Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。