论文阅读 | BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain

最新推荐文章于 2024-03-12 23:14:54 发布
最新推荐文章于 2024-03-12 23:14:54 发布
阅读量1.3k 收藏 6
点赞数 3
分类专栏: 网络安全与人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChaoFeiLi/article/details/108585880
版权

代码地址:https://github.com/MachineCF/badnets-pytorch

按照我的阅读顺序来看。

1、下载数据集

Run below command to download MNIST and cifar10 into ./dataset/.

$ python data_downloader.py

 2、debug main.py,一步一步看代码

train_data_loader, test_data_ori_loader, test_data_tri_loader = create_backdoor_data_loader(opt.dataset, train_data, test_data, opt.trigger_label, opt.poisoned_portion, opt.batchsize, device)

尤其注意函数:create_backdoor_data_loader,此函数中调用了类PoisonedDataset,在这里告诉我我们如何制作trigger数据集。

在函数add_trigger,采用了深拷贝,然后trigger_label=0,portion=0.1,并打乱这10%比例的数据。然后给找一点像素点,并把该像素点定义为trigger

 这四个坐标点就是该像素值点,并全部为255.

在单色图中, intensity 是 强度  gray scale 是灰度。而强度一般由  光源的能量和物体反射能量的比例的乘积  决定。 所以如果能量很低,颜色就很暗,极限就是能量为0,是黑色,而能量很大,就很亮,就是白色。

                new_data[idx, c, width-3, height-3] = 255
                new_data[idx, c, width-3, height-2] = 255
                new_data[idx, c, width-2, height-3] = 255
                new_data[idx, c, width-2, height-2] = 255

重新复制了一份新的数据集,同时对其中10%的数据进行了打乱,标记标签为0,打上白色的亮点

所以:

train_data=其中10%的数据进行了打乱,标记标签为0,打上白色的亮点(%10的数据保持data和label不一致,其中label=0

test_data_ori=0 Bad Imgs, 10000 Clean Imgs (0.00) ,data和label一致

test_data_tri=10000 Bad Imgs, 0 Clean Imgs (1.00),100%data和label不一致,label=0(数据的label全都是0)

只要理解了上述的样本集,然后按照过程一点一点的看代码,也就理解了(只要你学过神经网络mnist数字识别,那么就很容易理解了)。

重点解说一下下面图片:

在论文中提到在训练的过程中需要Clean Imgs 和Bad Imgs,来不断训练和隐藏trigger。那么在根据论文搭建了一个神经网络之后,论文中采用的training set中包含了90%的Clean Imags和10%的Bad Imgs,90%的Clean Imags不断通过训练提高预测准确率,10%的Bad Imgs不断训练提高trigger的预测准确率。

通过上述的矛盾过程,一步一步地增强图像特征的提取,表达预测准确性;同时一步一步加强触发点特征的权重。

testing set  ori 中用来验证神经网络的预测准确率

testing set  tri  中用来验证神经网络的触发预测(成功误导预测=0)的准确率

 

ChaoFeiLi
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain阅读总结
遠い世界へ
06-18 1376
论文工作 证明了后门触发器攻击的实用性,使用两个具体案例研究——MINIST手写数字识别和交通标志检测任务; 探索了迁移学习场景下后门攻击的有效性,以美国交通标志分类器重新训练以识别瑞典交通标志为案例研究; 调研了神经网络模型在线存储库存在的安全问题。 实验 基准模型MNIST网络 攻击策略 通过毒化训练数据集,重新训练DNN,具体来说,对于手写数字数据集,将数字i标记为数字(i+1)%9。 图1. (a)一张被标后门MNIST图像,(b)BadNe
BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain》阅读笔记
Yale的博客
01-15 2895
摘要 在这篇文章中作者展示了外包训练过程可能会引入新风险:后门攻击。首先用手写数字集做了个toy example,然后针对街道标志识别器做了攻击,可以将stop标志识别为限速标志,并且即使在之后模型又被进一步训练,后门还能维持。 引言: 针对的场景是迁移学习和MLaaS 一种植入后门的攻击方法 左边是正常的分类器。假设理想情况下,攻击者可以使用一个独立的网络来识别trigger,但是不会改变整个网络架构。将其与原网络结合在一起就得到了右边的植入后门后的分类器。 中间这幅图中,左边的网络用于进行分类,右边的
BadNets Identifying Vulnerabilities in the Machine Learning Model Supply Chain
柯同学要谦虚
11-13 5131
摘要 基于深度学习的技术已经在各种各样的识别和分类任务上取得了最先进的性能。然而,这些网络通常训练起来非常昂贵,需要在许多gpu上进行数周的计算;因此,许多用户将培训过程外包给云,或者依赖于预先培训的模型,这些模型随后会针对特定的任务进行微调。 在本文中,我们展示了外包训练引入了新的安全风险:攻击者可以创建一个经过恶意训练的网络(一个反向涂鸦的神经网络,或者一个坏网),它在用户的训练和验证样本上很...
BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain(2017)
weixin_43856668的博客
10-22 825
基于深度学习的技术已经在各种各样的识别和分类任务上实现了最先进的性能。然而,这些网络的计算训练通常是昂贵的,需要在许多GPU上进行数周的计算;因此,许多用户将训练过程外包给云计算,或者依赖于经过训练的模型,然后根据特定的任务对模型进行微调。在本文中,我们展示了外包训练引入了新的安全风险:对手可以创建一个恶意训练的网络(后门神经网络,或称为BadNet),该网络在用户的训练和验证样本上具有最先进的性能,但在攻击者选择的特定输入上表现糟糕。
BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain (2017)笔记
Billy1900的博客
09-03 698
Code: https://github.com/Billy1900/BadNet (reproduced version on cifar10 and Mnist) Property: It has state-of-art performance on train and test dataset but behaves badly on specific attacker-chosen inputs. Context: outsourced task and transfer learning Ca
人在回路机器学习Human-in-the-Loop_Machine_Learning.pdf
09-22
Human-in-the-Loop Machine Learning lays out methods for humans and machines to work together effectively. Summary Most machine learning systems that are deployed in the world today learn from human ...
The digit naming speed test: Its power and incremental validity in identifying children with specific reading disabilities
06-29
The digit naming speed test: Its power and incremental validity in identifying children with specific reading disabilities Assessing Severity in Behavior Disorders 15 S~HACHAR, R., RUITER, M., & ...
文章2:全文Identifying and Predicting Autism Spectrum Disorder Based on Multi-Site Structural MRI With Machine Learning.pdf
04-23
Identifying and Predicting Autism Spectrum Disorder Based on Multi-Site Structural MRI With Machine Learning 本文主要介绍了基于多站点结构MRI和机器学习的自闭症谱系障碍(Autism Spectrum Disorder,ASD)...
Identifying students' errors in administering the WAIS-R
06-29
Identifying students' errors in administering the WAIS-R Teachers’ Attributions for Low Achievement 83 research is needed to understand the dynamics of the interactions between teachers and ...
复现BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain
bajiaoyu517的博客
07-06 2640
BadNets论文复现
【后门攻击】BadNets代码复现(pytorch)
qq_39972370的博客
10-24 1903
论文名称:BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain 引入了深度学习中的第一个后门攻击。BadNets是可见攻击的代表,它开启了这个领域的时代。几乎所有的后续中毒攻击都是基于这种方法进行的。
BadNets:基于数据投毒的模型后门攻击代码(Pytorch)以MNIST为例
weixin_43856668的博客
10-25 1867
【代码】BadNets:基于数据投毒的模型后门攻击代码(Pytorch)
论文阅读】IEEE Access 2019 BadNets:评估深度神经网络的后门攻击
最新发布
计算机科研杂货铺
03-12 1331
基于深度学习的技术在各种各样的识别和分类任务上取得了最先进的性能。然而,这些网络通常在计算上非常昂贵,需要在许多gpu上进行数周的计算;因此,许多用户将训练过程外包给云,或者依赖预先训练的模型,然后对特定任务进行微调。在本文中,我们表明外包训练引入了新的安全风险:攻击者可以创建一个恶意训练的网络(后门神经网络,或BadNet),它在用户的训练和验证样本上具有最先进的性能,但在攻击者选择的特定输入上表现不佳。我们首先在一个玩具示例中通过创建一个后门手写数字分类器来探索BadNets的属性。
人工智能安全(一)—攻击
weixin_44714808的博客
08-01 1035
开始写一写论文的总结,慢慢补 1.《BadNets Identifying Vulnerabilities in the Machine Learning Model Supply Chain》 概述:在一张图片上增加一个或者几个像素点来扰乱模型的准确性,导致在某些特定的训练集上精度异常低。 2.《Deep Neural Networks are Easily Fooled: High Confidence Predictions for Unrecognizable Images》 概述:利用遗传算法生
python downloader_downloader.py
weixin_29193359的博客
12-24 476
#!/usr/bin/python# -*- coding: utf-8 -*-import jsonimport osimport timeimport loggingimport threadingimport requestsfrom singleton import singletonfrom thread_result import ThreadResultfrom threadpool...
基于深度学习的恶意样本行为检测(含源码) ----采用CNN深度学习算法对Cuckoo沙箱的动态行为日志进行检测和分类...
djph26741的博客
09-03 2907
from:http://www.freebuf.com/articles/system/182566.html 0×01 前言 目前的恶意样本检测方法可以分为两大类:静态检测和动态检测。静态检测是指并不实际运行样本,而是直接根据二进制样本或相应的反汇编代码进行分析,此类方法容易受到变形、加壳、隐藏等方式的干扰。动态检测是指将样本在沙箱等环境中运行,根据样本对操作系统的资源调度情况...
学习笔记——Neural Cleanse——Identifying and Mitigating Backdoor Attacks in Neural Networks
弹剑听潮
09-17 2935
神经网络清理 - 识别和减轻神经网络中的后门攻击 背景:深度神经网络(DNN)缺乏透明度(即在训练时无法观察到内部),故易受到后门的攻击,隐藏的关联和触发器会覆盖正常的分类。 针对此问题,本文提出了第一个稳健的、通用的DNN后门攻击检测和缓解系统。 技术:识别后门并且重建可能的触发点。通过输入过滤器、神经元剪枝和忘却学习来识别多种缓解技术。 (在安全领域,DNN被用于恶意软件分类、二进制逆...
说出"BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain"的不足
06-09
"BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain"的不足包括: 1. 对攻击类型的分类不够全面,只考虑了攻击者添加恶意后门的情况,没有考虑到其他类型的攻击,如数据篡改、模型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值