Invisible Backdoor Attack with Sample |
您所在的位置:网站首页 › Triggers_ › Invisible Backdoor Attack with Sample |
2022.1.10第一篇 精读(ICCV2021) 本文已授权投稿于我爱计算机视觉公众号 本篇文章属于后门攻击范畴,在讲解之前,我先简单的介绍一下一些先置知识: 什么是后门攻击后门攻击旨在将隐藏后门嵌入深度神经网络(DNN)中,使被攻击模型在良性样本(benign samples)上表现良好,而如果隐藏的后门被攻击者定义的触发器(triggers)激活,其预测将被恶意更改。 后门攻击的实际背景众所周知现有的深度神经网络越来越往大模型,大数据上靠了,很多研究人员由于无法承担如此高的计算消耗,不得以使用第三方资源来训练深度神经网络。例如,可以使用第三方数据(来自互联网或第三方公司的数据),使用第三方服务器(Google Cloud)来训练模型,甚至直接使用第三方API做任务。这就为攻击者在你模型训练阶段做手脚提供了机会。 后门攻击和对抗攻击的区别笔者眼中后门攻击和对抗攻击的区别:后门攻击是指当且仅当输人为触发样本(triggers)时,模型才会产生特定的隐藏行为(一般表示为分类错误);否则模型工作表现保持正常,个人感觉主要强调隐蔽的攻击。而对抗攻击则不同,它旨在让模型分类错误,个人感觉主要为直接攻击。此外对抗攻击在模型部署后对其推理阶段进行攻击,而后门攻击则针对多个阶段都能进行攻击,具体参见:Backdoor-Learning。 Introduction现有的后门攻击方法添加的triggers是sample-agnostic的,即不同的中毒样本使用相同的triggers,这导致这些后门攻击方法很容易被现有的后门防御方法瓦解。基于此,本文提出了一种新的后门攻击方法:通过生成sample-specific的triggers实现攻击,且该方法能攻破现有的后门防御方法。 下图展示了sample-agnostic的BadNets方法和本文所提的sample-specific的后门攻击方法的差异: 作者认为现有后门防御方法的成功主要基于triggers是sample-agnostic的假设,一旦违反这一假设,他们的有效性将受到很大影响。下面讨论了几种现有防御方法的假设。 Pruning-based Defenses基于剪枝地防御认为:由于triggers是sample-agnostic的,那么只要剪调编码triggers对应地神经元就可以抵御后门攻击,而这种方法对sample-specific的triggers是无效的。 Trigger Synthesis based Defenses基于合成triggers的防御方法(Neural Cleanse[1])假设当然也需要有一个sample-agnostic的trigger,否则合成的triggers毫无意义。 Saliency Map based Defenses基于Saliency Map的防御先计算每张图片的Saliency Map,再根据不同图片之间的显著性相同的区域从而定位triggers,该方法对sample-specific的triggers同样无效。 STRIPSTRIP[2]方法通过将各种图像模式叠加到可疑的图像。如果生成的样本的预测是一致的,那么这个被检查的样本将被认为是中毒样本。可以看出STRIP还是依赖于triggers是sample-agnostic的假设。 The Proposed Attack如何设计sample-specific的triggers呢?作者受到基于深度神经网络的图像隐写术启发,生成的triggers是不可见的可加性噪声,包含目标标签的代表性字符串。下图很清晰的反映了本文所提的后门攻击的流程: 本文在MS-Celeb-1M和ImageNet进行了实验验证: 本文提出了一种sample-specific的triggers,并通过大量实验证明该后门攻击方法能攻破现有很多后门防御方法,同时取得较高的攻击成功率和隐蔽性。 References[1] Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks [2] STRIP: A Defence Against Trojan Attacks on Deep Neural Networks [3] Practical detection of trojan neural networks: Data-limited and data-free cases [4] Spectral signatures in backdoor attacks |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |