Trojaning Attack on Neural Networks 论文阅读笔记

最新推荐文章于 2022-07-18 23:16:44 发布
最新推荐文章于 2022-07-18 23:16:44 发布
阅读量689 收藏 3
点赞数 5
文章标签: 人工智能 深度学习 神经网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Haulyn5/article/details/124187766
版权

0 前言

尽量避免翻译,尽量加入个人理解,希望读者(包括我)能在读的时候快速得到信息。

施工中,但是主体内容已经完成。

一作的 homepage:Yingqi Liu’s personal webpage,顶会收割机

目录

0 前言

1 基本信息

1.1 论文来源

1.2 概述

2 论文要点

2.1 背景

2.2 价值

2.3 问题陈述

2.4 方法

2.4.1 Alternative Designs

2.4.2 Attack Design

2.5 结果

3 评论

3.1 局限性

3.2 扩展阅读

3.3 启示

1 基本信息

1.1 论文来源

Y. Liu et al., “Trojaning Attack on Neural Networks,” presented at the Network and Distributed System Security Symposium, San Diego, CA, 2018. doi: 10.14722/ndss.2018.23291.

1.2 概述

作者预感之后训练好的模型的出售或共享将是很普遍的事情,那么就可能有敌手训练一个恶意的模型上传到公开分享平台,而在训练时加入一个恶意的行为:在看见trigger(触发器,就是一些加在图片上的图案)后,会输出攻击者设定好的输出,而其他时候表现正常。而神经网络的不可解释性为这种攻击提供了天然的隐秘性,毕竟模型参数本质上一堆浮点数矩阵,也不是已知碳基生物能看懂的。这篇文章最有意思的点在于他不需要获取任何训练数据也不需要干扰训练流程,这个更现实的设定意味着更高的难度。作者考虑了 5 种应用场景做了实验,恶意行为几乎能以100%的概率被trigger触发,而模型在对于普通输入表现却下降很少。(摘要原话还有甚至还会提高准确率,但是这个需要在后面讨论)。其次,这种攻击的耗时也不高(作者的PPT直言用笔记本跑的实验)。最后,作者讨论了可能的防御方法。

简单看了综述,这篇文章应该是第一个假设不需要获取训练数据不需要能够干扰训练流程的文章,但后续也很少有文章延续这个假设,通常会假设能够获取相关的训练数据。

2 论文要点

2.1 背景

之前的攻击[29,30] ,需要能掌控训练阶段,并且可以获取训练数据。Incremental learning [19, 38, 49] 增量学习直接在已有模型上用新数据训练,文中实验证明很难用于 Trojan Attack。(原因是因为增量学习为了保证原有功能,对权重的修改非常小,而这么小的修改很难更改原有模型的一些操作,比如原来的模型是人脸识别,训练集里有张三的照片,增量学习的背景下,就算给张三的新照片加上trigger,新模型还是概率正常将其识别为张三,无法发动攻击)

2.2 价值

2.3 问题陈述

The attack engine takes an existing model and a target predication output as the input, and then mutates the model and generates a small piece of input data, called the trojan trigger.

威胁模型:攻击者能够完全操控模型(很容易),无法获取训练集和测试集数据。攻击者的目标是使用自己制作的额外数据重训练模型,使其在正常情况下无异常表现,而在触发器 trigger 出现时,做出错误的行为。

2.4 方法

这篇文章很神奇的,用了一个 Section 介绍自己测试各种攻击方法的过程,分析了测试的方法为什么行不通,所以这里对 Alternative Designs 额外做一些说明。

2.4.1 Alternative Designs

首先作者测试了增量学习 Incremental Learning,其中他选择了不需要获取模型训练数据的学习方法(题目与链接附下,这篇文章目前引用数38,笔者也没有阅读)。

Comparing incremental learning strategies for convolutional neural networks

然后发现很好,加上trigger以后效果也很好,原来的表现也下降不多,但是问题在于训练集的原图片加上trigger没用,因为增量学习对权重修改较小来保持原有功能,所以遇到训练集中图片加上trigger就表现不行了。(其实在 Introduction 的背景中就有提到)

第二个测试是 Model Parameter Regression,模型参数回归,看名字容易一头雾水。思路比较朴素,就是放宽敌手能力,认为敌手有能力获取一部分的训练集子集 D。然后敌手把这个D再分好几批好几层,比如D包括D1, D2, D3,等等,就单独用 D1 和 D1+trigger 训练一次,然后加入 D2和D2+trigger,一点一点逐渐把手上的训练集子集D中的剩余数据逐渐加进去,每次都训练一个模型,然后观察逐渐加入训练数据的时候,模型参数变化规律,尝试预测如果手上有全部训练集,模型参数会变化成什么样子,即回归。作者测试了3种回归模型,: inear, second degree polynomial and exponential ,最后无论是原始数据集,还是原始数据集+trigger,都表现极差。作者认为是因为简单的回归无法建模复杂的模型参数之间与训练集扩充的相互影响。

第三个测试是先确定一个trigger再找神经元,当然实际这篇论文最终方案是反过来的。那么先确定trigger有一个很大的好处,就是可以增加trigger的隐秘性,毕竟后来最终方案生成的花花绿绿的确实隐秘性差了不少。那么这个的思路就是,假设有一部分训练集,攻击者把原始训练集和原始训练集+trigger扔给模型,看一下哪些神经元在面对原始数据和加了trigger的数据得到输出差距大,就认为这些神经元对trigger敏感,之后就重点搞这些神经元。具体来说,把这些神经元和敌手期待的输出之间的权重直接拉大。但是结果依旧很差准确率都在60%多。作者的分析是认为通常情况下,没有神经元能够比其他神经元对于这些trigger更加相关,反应更加敏感。通常情况是很大一部分神经元都会和trigger有关,但是都关系不强。(“能拉,只能拉一点点”)。作者还测试了 latent variable model extraction 尝试寻找和 latent factor 相关的神经元,然而效果依旧很差,原文的说明是 “Details are elided”

2.4.2 Attack Design

简单来说,攻击分成三步,分别是:Trigger生成,训练数据生成,重训练。

第一步生成trigger,这个算法有两个输入:选定的目标神经元与 trigger mask。这两个都可以是攻击者自己定义输入进去的。对于选定的神经元,trigger 生成算法会用类似生成对抗样本的方式(固定模型参数,不断梯度下降调整输入x)来调整 trigger,最后得到一个会使得目标神经元输出值异常增大(比如原来0.1,调整出一个可以使该神经元输出10的trigger)。而 trigger mask 限定只能在图像的特定位置生成 trigger。

PS:神经元的选择有trick,选择天然权重比较大的神经元,有做相关的实验。

第二步,训练数据生成,因为假设攻击者完全获取不到训练数据,所以要生成对应的数据。首先对于输出的每一个类别,我们都生成一个可以使该类别输出置信度为 1 的输入 x(流程可以参考白盒对抗样本),然后我们对于这些 x 都标注好正确的 label。之后我们给每一个样本 x 加上 trigger,然后修改 label 为我们想要的类别,又得到一组数据。所以最后的训练样本数目时 模型分类类别数目 × 2 。

第三步,重训练,这一步没有太多好说的,就是类似迁移学习,使用新的数据对模型进行训练。这里作者额外介绍了一个 trick 就是固定选定神经元前面层的参数。作者表示这样可以加速训练。

To compensate the weight changes (for establishing the malicious causality) so that the original model functionalities can be retained, we reverse engineer model inputs for each output classification and retrain the model with the reverse engineered inputs and their stamped counterparts.

2.5 结果

测试了 5 个任务:人脸识别,语音识别,年龄识别,语句态度检测,自动驾驶。

实验结果

发现每个任务中,修改后的模型在原数据集的表现下降平均都不超过 3.5%。

这里是表格内容说明,可跳过:第一列模型名,第二列第三列模型结构,第四列是trigger的参数,7%*70%指的是,trigger大小相对于原图有 7 %,透明度70%,语音的 10 % 改的spectrogram 的 10%(这里其实挺有意思的,这个10%相当于面积,但是沿时间方向和频率方向以及位置其实都是语音识别中很重要的事情),SAR(Sentence Attitude Recognition)中 64个词语中有 5 个词长度的trigger。Accuracy列中,Ori指的是原始模型在原数据集的表现,Dec指的是原始模型表现减去Trojan Model在原数据集的表现(注意是减去,而不是相比下降),Ori+Tri指的是原始数据加上trigger后能否攻击成功,Ext+Tri指的是攻击者收集的外界数据加上trigger后能否成功。

神经元选择算法作用明显,相对随机选择的神经元,对于原始数据+trigger,攻击成功率从47.4%提高到了91.6%。(其实个人觉得这里只用一个随机神经元有展示最好的数据的嫌疑,虽然可能无法把所有神经元都做一次大实验测试,毕竟选择一个神经元之后要生成trigger,重训练模型,工作量还是很大的,但是多做几组随机神经元也能大大提高结果的可信度

3 评论

3.1 局限性

Trigger 的位置在生成时就已确定,严格按照文中方法的话,生成的 trigger 如果改变位置将大大降低攻击成功率。

3.2 扩展阅读

3.3 启示

3.4 阅读问题

Q: 选择神经元是对特定层选择一个还是选择多个?

A: 一个或多个都可以,后续有实验。

Q: 似乎没有对 trigger 位置做讨论?

A:是的,但是就算同一位置,每次随机初始化值不一样,导致最后的 trigger 也不一样。

Q:怎么保证用户会用你的model?怎么知道哪个用户用了你的model?

A:确实难以保证,只能宣传更好的 performance。确实如果没有控制平台难以知道别人是否使用你的模型。

Haulyn5
关注
Unnoticeable Backdoor Attacks on Graph Neural Networks总结笔记
llljoo的博客
06-17 492
Unnoticeable Backdoor Attacks on Graph Neural Networks的基本思想是通过攻击预算的约束生成触发器过程,增加后门攻击的隐蔽性,部署自适应触发器。
论文阅读】Efficient Model-Stealing Attacks Against Inductive Graph Neural Networks(2024)
最新发布
Glass_Gun的博客
08-27 903
现有的模型窃取方法依赖于只对齐发送给受害者和代理模型的单个图节点的预测。将代理模型的节点表示与受害者模型的相应表示对齐,同时将其与其他节点的表示区分开来。通过在训练过程中集成谱增强来增强代理模型的图输入,进一步提高了发送给受害者模型的每个查询的窃取过程的效率。值得强调的是,目前大多数关于模型窃取攻击的努力都集中在图像和文本数据的ML模型上[31,23,34,17]。受最近编码器模型窃取方法的启发[5,20,28],我们利用了增强图输入应该产生相似模型输出的重要事实。
Trojaning Attack on Neural Networks
柯同学要谦虚
12-09 4965
摘要 摘要:随着机器学习技术的快速发展,共享和采用公共的机器学习模型变得非常流行。 这给了攻击者很多新的机会。本文提出了一种针对神经网络的木马攻击。由于模型不直观,不易被人理解,所以攻击具有隐蔽性。部署木马模型可能导致各种严重后果,包括危及生命(在自动驾驶等应用程序中)。首先对神经网络进行反求,生成一个通用的木马触发器,然后利用逆向工程训练数据对模型进行再训练,将恶意行为注入到模型中。恶意行为只会...
Trojaning Attack on Neural Networks阅读笔记
Yale的博客
01-15 2499
针对的场景: 1.随着机器学习技术的普及,人们会共享、采用公共的模型 2.不需要接触到训练原模型所用的数据集 实验结果: 针对5个不同的应用来实验,均能成功触发后门 模型存在黑盒性: 神经网络本质上只是一组与特定结构连接的矩阵。它们的含义是完全隐式的,由矩阵中的权重编码。很难理解模型为什么做出决策。 设想这么一个场景: 一家公司发布了他们的自动驾驶NN,可以将其下载并部署在无人驾驶汽车上。攻击者下载NN,向NN注入恶意行为,以指示车辆在路边出现特殊标志时进行掉头。然后,他重新发布了变异的NN。由于被篡改的N
论文阅读 | Trojaning Attack on Neural Networks
weixin_30352645的博客
08-13 1108
神经网络的木马攻击 Q: 1. 模型蒸馏可以做防御吗? 2.强化学习可以帮助生成木马触发器吗? 3.怎么挑选建立强连接的units? 本文提出了一种针对神经元网络的木马攻击。模型不直观,不易被人理解,攻击具有隐蔽性。 首先对神经元网络进行反向处理,生成一个通用的木马触发器,然后利用外部数据集对模型进行再训练,将恶意行为注入到模型中。恶意行为只会被带有木马触发...
论文阅读ppt-FirmAFL.rar
01-13
FimAFL文献阅读PPT
AI 聪明到会偷代码写程序,但程序员不必担心失业
weixin_34162629的博客
06-02 343
人工智能系统正在变得越来越聪明,它们不仅能下围棋、炒股票,现在还学会了写代码。由微软和剑桥大学研究员一同开发的人工智能系统DeepCoder,完成了人类编程挑战赛所设定的基本挑战。 DeepCoder能从其他程序中“偷”代码,然后开始写自己的程序。不过,人类程序员目前还不用担心自己的饭碗会被它给抢走。因为DeepCoder的研究团队称,他们开发这个系统是...
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 831
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
论文笔记02】Active Learning For Convolutional Neural Networks: A Core-Set Approch,ICLR 2018
weixin_45632492的博客
08-01 5755
目录导引系列传送Core-SetAbstractContributeMethodExperimentsReference 系列传送 Core-Set Abstract Contribute Method Experiments Reference
《Adversarial Attacks on Neural Network Policies》阅读笔记
孤山的都灵族如果不会打铁怎么办
03-24 570
目录摘要介绍白盒攻击过程 摘要 对抗攻击可以攻击基本的神经网络模型,攻击常见的深度学习任务(如分类、识别)等,仅需要通过修改一像素的值,就可以使得神经网络输出目标结果,并且在白盒与黑盒场景下均可以攻击成功。值得注意的是,考虑到现实任务中积攒的数据往往总是那么规整,全面,且需要人工智能模型参与决策的任务变得非常服啊,对无监督学习、强化学习模型的攻击(在某些应用场景下也可以理解为测试)也需要考虑到其特质,进行进一步研究。本文提出目前的对抗攻击策略也能用于攻击强化学习策略。 介绍 强化学习没有大量的标记好的训练样
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 3231
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2548
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
对抗样本攻防 一 (近期相关工作总结分析:论文加部分源码)
Enjoy_endless
09-12 1894
之前的文章对于对抗样本有过一个简单的介绍,除了概念、原理的部分内容之外还有一些早期的相关研究工作;在这里更加具体一些,来看一看相关顶会论文对于这一块的研究工作。 对抗样本主要分为两个级别上的:1、像素级别上的;2、单独对抗块级别上的。这里主要关注一下对抗块级别相关的研究工作。 人工智能这么火,越火越代表安全这一块的严重性,因为他的应用确实比较广而且非常贴合实际、影响性大:人脸识别、监控摄像头、自动...
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
2022.06.01-2022.06.05
weixin_40872714的博客
06-01 412
对 Using Honeypots to Catch Adversarial Attacks on Neural Networks (2020) 这篇文章的相关调研Trojaning Attack on Neural Networks (2017)   首先反转神经元网络以生成通用木马触发器,然后使用外部数据集重新训练模型以将恶意行为注入模型。恶意行为仅由带有木马触发器标记的输入激活。BadNets: Identifying Vulnerabilities in the Machine Learning M
机器学习攻击综述总结
Billy1900的博客
07-01 2945
Attacks on Machine Learning 文章目录Attacks on Machine Learning1. The first one of attacks categories1.1 Espionage1.2 Sabotage1.3 Fraud2.The second one of attacks categories2.1 Evasion (Adversarial Examples)Research Work2.2 Poisoning:Widespread.2.3 TrojianingR
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6739
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
读书笔记17:Adversarial Attacks on Neural Networks for Graph Data
b224618的博客
09-05 7829
https://arxiv.org/pdf/1805.07984.pdf 看过之后有一个思考,adversarial attack的目标是事先选定一个class,然后选择攻击方式,尽可能使得模型把样本分类成这个类别,并且class probability和原class的probability拉开差距,但是可不可以将目标设定为最小化原分类class的probability,也就是只将目标定位为使t...
人工智能安全(三)—防御
weixin_44714808的博客
08-31 757
1.《Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks》 这篇文章是根据 像素点攻击和特洛伊木马”(Trojans)提出的一种检测是否有这两类攻击的一种检测手段,以及削弱后门攻击的一种手段。 像素点攻击的论文提出是这篇文章 :《BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain》 特洛伊木马的论
subsasgn Assign fields of a neural network.
07-20
In MATLAB, you can assign fields of a neural network using the `subsasgn` function. The `subsasgn` function allows you to modify or assign values to specific fields of an object, such as a neural network. Here's an example of how you can use `subsasgn` to assign fields of a neural network: ```matlab net = feedforwardnet([10 5]); % Create a feedforward neural network % Assign a new value to the 'trainFcn' field of the network newTrainFcn = 'trainlm'; net = subsasgn(net, struct('type', '.', 'subs', 'trainFcn'), newTrainFcn); % Assign a new value to the 'layers' field of the network newLayers = [15 7]; net = subsasgn(net, struct('type', '.', 'subs', 'layers'), newLayers); ``` In the above example, we first create a feedforward neural network `net` using the `feedforwardnet` function. Then, we use `subsasgn` to assign a new value to the `'trainFcn'` field and the `'layers'` field of the network. Note that in the `subsasgn` function, we use a structure with fields `'type'`, `'subs'`, and the new value to specify the assignment operation. The `'type'` field is set to `'.'` to indicate that we are accessing a field of the object, and the `'subs'` field specifies the name of the field we want to assign. You can adapt this example to assign other fields of a neural network based on your specific requirements.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值