Detecting Backdoor in Deep Neural Networks viaIntentional Adversarial Perturbations论文分享(侵删)

已于 2024-02-04 12:28:13 修改
阅读量808 收藏 16
点赞数 23
文章标签: 深度学习 人工智能 机器学习
于 2023-12-28 23:45:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DTGshaodow/article/details/135256925
版权

原文地址:https://arxiv.org/abs/2105.14259

author={Mingfu Xue and Yinghao Wu and Zhiyu Wu and Jian Wang and Yushu Zhang and Weiqiang Liu}

title={Detecting Backdoor in Deep Neural Networks via Intentional Adversarial  Perturbations}

介绍:提出了一种基于对抗性样本的后门检测方法。所提出的方法利用故意对抗扰动来检测图像是否包含触发器,这可以应用于训练阶段和推理阶段(在训练阶段清理训练集,并在推理阶段检测后门实例)。具体地说,给定一个不可信的图像,对抗性扰动被有意地添加到图像中。如果模型在扰动图像上的预测与在未扰动图像上的预测一致,则输入图像将被视为后门实例。

特点:1.可以通过故意的对抗性扰动来检测后门实例。2.与需要大量干净图像来重新训练模型以去除后门的工作[7]相比,所提出的方法只需要一小部分干净图像来生成对抗性扰动。3.该方法在所有三个数据集上都实现了更高的后门检测率。与STRIP [12]相比,该方法的优点是不会破坏触发器,只需预测两幅图像(扰动图像和未扰动图像)。

生成扰动的方法:通用对抗扰动(Universal adversarial perturbation,UAP)[13]是一种图像不可知的对抗扰动。与针对每个图像专门制作的图像特定对抗扰动不同[14],UAP是基于具有一小组干净图像的模型生成的[13]。UAP [13]作为一种与图像无关的扰动,对触发器的影响远小于特定于图像的扰动,因此后门实例的标签即使在受到UAP [13]的扰动后也不会改变。

优点:1.该方法不需要任何后门攻击信息。只需要一小组干净的图像(300个干净的图像)来生成通用的对抗性扰动。2.只需要产生一个单一的通用扰动,只需要模型对未扰动图像和扰动图像进行预测,这需要很低的计算开销。3.使用通用对抗扰动(UAP)来扰动不可信图像[13]。这不会破坏触发器,并确保后门实例的预测标签即使在扰动之后也保持不变。

方法说明:第一步是从后门模型中生成通用对抗扰动[13],其中包含一小组干净的图像。第二步是后门检测,总结如下。如图1所示,给定一个不可信的图像,在前一步骤中生成的通用扰动被添加到该图像。然后,扰动图像和相应的未扰动图像都输入到不可信模型中。如果不受信任的模型是后门,没有扰动的后门实例将被错误分类为目标标签。当添加通用对抗扰动[13]时,携带触发器的后门实例仍将被分类为目标标签。然而,给定一个干净的图像,当添加扰动时,其预测标签将变为另一个标签。因此,如果后门模型总是将图像预测为具有或不具有普遍扰动的相同标签,则该图像被认为是后门实例。同时,预测的标签被认为是目标标签。例如,图1中的标签Stop是目标标签,并且对应的图像携带触发器。

后门检测流程:

训练阶段的后门检测:如果训练数据集包含后门实例,防御者的目标是删除注入训练数据集中的后门实例。

推理阶段的后门检测:防御者的目标是检测输入图像是否携带触发器。

注:训练阶段:是神经网络在输入数据,通过数据和对应标签不断调整权重的过程,即生成模型的过程。

推理阶段:当网络训练完毕后(权重不更新),输入数据后神经网络对其进行处理(比如输入猫的图片,神经网络将图片分类为猫),即模型开始工作进行预测。
 

实验:介绍了所提出的方法在Fashion-MNIST [9],CIFAR-10 [10]和GTSRB [11]数据集上的防御性能。

后门模型在Fashion-MNIST [9]、CIFAR-10 [10]和GTSRB [11]上对干净图像的分类准确率分别为92.19%、92.77%和95.16%。在没有提出的防御方法的情况下,Fashion-MNIST [9],CIFAR-10 [10]和GTSRB [11]上的后门攻击成功率(BASR)分别为99.47%,99.77%和97.89%。

表II示出了在应用所提出的方法之后在三个数据集上的干净图像识别率、后门检测率和普遍扰动的强度。

我们评估了所提出的方法在触发透明度的值分别设置为50%、60%、70%和80%下的性能。实验结果表明,该方法能有效检测不同触发透明度设置的后门实例。

我们评估了所提出的方法在三种不同触发器大小下对抗后门攻击的性能。

进行了实验以将所提出的方法与STRIP [12]进行比较。

STRIP [12]的检测过程中,将来自不同类别的一组其他图像分别添加到输入图像中,以生成一组混合图像[12]。然后,STRIP利用熵来测量所有混合图像的预测标签的随机性[12]。干净图像的熵明显低于后门实例的熵。因此,熵越小,输入图像越有可能包含触发器[12]。

不吃香菜葱的程序猿
关注
  • 23
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
论文阅读笔记】NeurIPS2020文章列表Part1
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
Corner points localization in electronic topographic maps with deep neural networks
02-07
This paper proposes an algorithm for automatically locating the corner points in the electronic topographic maps by detecting the specific rectangle objects in the map corners. It assigns the probab
【NeurIPS 2023】Backdoor对抗攻防论文汇总
m0_61899108的博客
10-05 5081
2023年以及2022年的NeurIPS有关backdoor的对抗攻防的论文
图上的对抗与攻击精选论文列表(​2021相关论文一览)
数据派THU
07-02 830
来源:深度学习与图网络 本文约1400字,建议阅读5分钟本文为你分享图上的对抗与攻击精选论文。 2021相关论文一览大规模攻击图神经网络图神经网络的黑盒梯度攻击:更深入洞察图的攻击和防御...
对抗攻击(Adversarial Attack)
热门推荐
ji_meng的博客
04-22 1万+
对抗攻击
Poisoning Attack in Adversarial Machine Learning
ColdWindHA的博客
03-05 1661
Poisoning Attack in Adversarial Machine Learning Data Poisoning攻击区别于Evasion攻击,是攻击者通过对模型的训练数据做手脚来达到控制模型输出的目的,是一种在训练过程中产生的对模型安全性的威胁。Data Poisoning,即对训练数据“下毒”或“污染”。这种攻击手段常见于外包模型训练工作的场景,例如我们常常将模型训练任务委托给第三方云平台(如Google Colab等等),此时第三方平台就掌握了我们的所有训练数据,很容易在训练数据上做手脚,
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6647
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 2447
关于后门攻击&防御的博客与论文
【AAAI 2021】全部接受论文列表(三)
yinizhilianlove的博客
01-14 4983
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2021-01-14 马上春节了,疫情又卷土而来,希望大家注意防护,爱护自己的身体 AAAI 2021论文接收情况   人工智能顶级会议AAAI 2021 已经给出接收论文列表,共有1692篇论文被接收,录取率21%,比去年的20.6%稍微有些上升。单从数量上看,也比去年多了101篇。本届 AAAI 2021已经是第35 届会议了。据 AAAI 2021官方网站,这个 2021年首个人工智能顶会将全.
计算机视觉论文-2021-03-10
中科院AI算法工程师的博客
03-10 4961
本专栏是计算机视觉方向论文收集积累,时间:2021年3月9日,来源:paper digest 欢迎关注原创公众号【计算机视觉联盟】,回复【西瓜书手推笔记】可获取我的机器学习纯手推笔记! 直达笔记地址:机器学习手推笔记(GitHub地址) 1, TITLE:Selective Replay Enhances Learning in Online Continual Analogical Reasoning AUTHORS: Tyler L. Hayes ; Christopher Kan...
Detecting community structure in bipartite networks based on matrix factorisation
02-21
Detecting community structure in bipartite networks based on matrix factorisation
Detecting Text in Natural Image with_CTPN论文_
09-30
Detecting Text in Natural Image with CTPN》这篇论文是自然场景文本检测领域的经典之作,由Tian et al.在2016年提出。CTPN(Connectionist Text Proposal Network)是一种基于深度学习的方法,旨在解决图像中的...
Detecting Anomalous Emotion through Big Data from Social Networks Based on a Deep Learning Method
02-07
Detecting Anomalous Emotion through Big Data from Social Networks Based on a Deep Learning Method
Detecting Influential Nodes Incrementally and Evolutionarily in Online Social Networks
02-07
### 在线社交网络中增量与进化地检测有影响力节点的研究 #### 摘要与引言 本研究探讨了在线社交网络(Online Social Network, OSN)中的有影响力节点检测问题及其随时间演变的模式。在线社交网络已经成为日常生活...
基于深度学习的草莓成熟度实时检测系统(UI界面+YOLOv8/v7/v6/v5模型+完整代码与数据集)
a871923942的博客
07-22 507
使用YOLO模型进行草莓成熟度检测。构建一个简单的用户界面,允许用户上传草莓图片,并显示检测结果。提供完整的代码示例和训练数据集。目录1. 引言2. 项目概述3. 环境配置4. 数据集准备5. 模型训练6. 构建UI界面7. 部署与测试8. 结论与声明。
**卷积神经网络典型CNN**
HP2LF的博客
07-23 1153
SeNet(Squeeze-and-Excitation Networks)是ImageNet 2017年分类任务冠军,核心思想是:Squeeze(挤压、压缩)和Excitation(激励)两个操作,其主要目的是通过显示的构建特征通道之间的相互依赖关系,采用特征重定向的策略,通过学习的方式自动的获取每个特征通道的重要程度,然后依据***这个重要程度去提升有用的特征,并抑制对于当前任务用处不大的特征。Squeeze特征压缩操作,将每个feature map的特征数据使用全局平均池化操作转换为一个数值(实数),
智能路面裂缝检测:基于YOLO和深度学习的全流程实现
最新发布
a871923942的博客
07-23 458
引言路面裂缝检测是维护道路质量和延长道路寿命的重要手段。传统的检测方法往往费时费力且易受人为因素影响。为了提高检测效率和准确性,本文介绍了一种基于深度学习的路面裂缝检测系统。该系统包括用户界面,利用YOLO(You Only Look Once)v8/v7/v6/v5模型进行路面裂缝检测,并提供了完整的实现步骤和详细代码。
长短期记忆网络(LSTM)及其Python和MATLAB实现
qq_45441438的博客
07-22 819
3. 输入门计算:输入门的计算包括两部分,一部分是将上一个时间步的隐藏状态与当前时间步的输入特征拼接后通过两个全连接层分别计算出sigmoid 激活函数和 tanh 激活函数的输出,另一部分是将这两个输出相乘后输出输入门的值。2. 遗忘门计算:遗忘门的计算包括两部分,一部分是将上一个时间步的隐藏状态与当前时间步的输入特征拼接后通过一个全连接层得到一个向量,另一部分是经过一个 sigmoid 激活函数后输出遗忘门的值。6. 更新隐藏状态:根据记忆单元状态和输出门的值计算出下一个时间步的隐藏状态。
applying convolutional neural networks for detecting wheat stripe rust trans
09-16
卷积神经网络(Convolutional Neural Networks,CNN)是一种深度学习算法,被广泛应用于计算机视觉任务。针对麦田条锈病的检测,可以使用CNN通过对图像进行卷积和池化等操作,自动提取图像中的特征,从而实现条锈病的检测。 首先,我们需要收集一批带有条锈病特征和健康的小麦叶片图像作为训练集。这些图像应涵盖不同种类的条锈病、不同生长阶段的小麦叶片,并且具有不同的环境光照和角度。 接下来,我们可以使用已经预训练好的卷积神经网络模型(如VGG、ResNet等),将训练集中的小麦叶片图像输入到网络中,通过网络的前向传播过程,逐层提取图像的特征信息。通过定制的损失函数,我们可以根据训练集中每个图像的标签(健康/条锈病),来计算网络输出与标签之间的误差,并通过反向传播算法来优化网络参数,使得网络能够更准确地预测条锈病。 在训练过程中,需要进行数据增强操作,如图像旋转、平移、缩放等,以增加训练集的多样性和模型的鲁棒性。 完成训练后,我们需要一组测试集来评估模型的性能。将测试集的图像输入已训练好的CNN模型中,得到模型输出,与测试集标签进行对比,计算模型的准确率、召回率和F1值等指标,来评估模型的效果。 总结起来,通过应用卷积神经网络进行小麦条锈病检测,我们可以利用CNN自动提取图像特征,并通过训练集和测试集的评估,得到一个高效准确的检测模型。这种方法相比传统的手工特征提取方法,能更好地适应复杂多样的小麦叶片图像,并实现更高的检测精度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值