读论文:STRIP: a defence against trojan attacks on deep neural networks

最新推荐文章于 2022-01-10 18:35:25 发布
最新推荐文章于 2022-01-10 18:35:25 发布
阅读量2.6k 收藏 7
点赞数 6
分类专栏: 读论文 文章标签: 深度学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jason_olt/article/details/106484315
版权
个人原创,转载请标记出处。
本文是阅读论文《STRIP: a defence against trojan attacks on deep neural networks》后的笔记,本文的撰写将不以翻译为基准,而以内容简述为基准来进行。(实际上这篇论文是很久前读的了,但是一直没有写博客/写笔记的习惯,希望这可以作为一个起点)

文章可见于:点我到 ArXiv 下载
文章概述:本文提出了一种针对backdoor attack的 online sample detection method,可以说是较早的一篇 backdoor sample detection 的文章了,并且发表在ACSAC 2019 (CCF-B)上。

本文提出的 detect 方法如下图所示:
图 1
说明:(不理解的看后面的原理解释,部分背景也会提及)图 1 中 input x 是待检测的样本,这里示例的是一张加入了 trigger(右下角的小方块) 的样本,作者将验证集中的干净图片依次作为水印添加到 x 上,得到多张添加了水印的 perturbed inputs(比如作者用了 100 张干净图片做水印,那么依次添加后就得到 100 perturbed inputs),随后这多个 perturbed inputs 都输入到模型并得到预测 label(比如这里是 100 个 label),最后计算这多个 label 的熵,如果计算得到的熵值小于设定的阈值,则判定 x 带有trigger,即 x 是受污染的,且说明当前使用的模型是backdoor-attack-compromised。

原理解释

  1. backdoor attack 属于 poisoning attack 的一种,但是不同于以往的 poisoning attack 的是,backdoor attack 攻击后的模型在干净的验证集上依然能得到较高的准确率,而在带有 trigger 的样本上则会产生特定的误分类。这里个人理解其实就是一种对 trigger 这一特征过拟合的表现,因此 trigger 也只能对 backdoor 攻击过的模型有用。(这是背景)
  2. 图 1 中由于 x 是带有 trigger 的,并且可以看到添加的水印并没有覆盖/破坏 trigger,因此得到的多个 perturbed inputs 中都有清晰的 trigger,因此这些 inputs 的分类结果都是特定的由攻击者指定的 target label,相同的(或者只有几个不同)label 计算得到的熵必然很小。
  3. 这里我们假设 x 不带有 trigger,那么多个 perturbed inputs 其实内容就十分混乱了,对于模型而言是在训练时没有出现过的样本,那么模型就会随机分类,因此多个分类结果比较不一致,这是计算得到的熵就会较大。
  4. 从 2 & 3 的分析中,就可以知道干净的样本和不干净的样本的熵差别会很大,因此可以利用这一点进行检测。
  5. 剩下一个待解决的问题:阈值怎么设定?作者假定自己手上是有一个验证集的(这样的假定可以说是较合理的),验证集都是干净的图片,可以用验证集的图片来进行测试,看得到的熵的值大概都多大,然后设定一个阈值,这个阈值可以牺牲掉部分的干净图片,看检测的时候会有多少毒样本没有检测到(FRR-FAR,false reject rate - false accept rate)。

论文实验结果
图 2
(事实上为什么 CIFAR10 上的表现比在 MNIST 上的还好令我费解。我复现的结果在 MNIST 上的表现是最好的,在 GTSRB(交通标志数据集,彩色图)上的表现并不理想。)

个人分析

  1. 这个方法还是比较 novel,较好地利用了 trigger is powerful 这一特点。
  2. 这个方法难以 generalize,因为大部分的数据集,当使用干净样本作为水印添加到 under-detecttion 的 x 上的时候,trigger 很容易被破坏(比如设计一个在图片中间的 trigger,或者采用的数据集是整张图都有东西的彩色图),也就是说,这个方法对 trigger 的位置、颜色会比较敏感。

最后
online backdoor sample detection 的文章还有几篇,但是其他的思路较接近的几篇没记错的话都还没有发表(只发在 ArXiv 上,截至 2019.06.01)。这里简单列举如下,后续可能会补上:

  1. 结合了 Grad-CAM,找出输入中对分类结果贡献最大的区域,裁剪出来放到干净图片上,看是否会导致干净图片的分类结果改变:SentiNet Detecting Physical Attacks Against Deep Learning Systems
  2. 通过随机 block 输入的区域,看是否有一个区域被 blocked 时,分类结果改变。如果改变,则使用该 blocker 进行遮挡,实现正确分类:Model Agnostic Defence against Backdoor Attacks in Machine Learning
  3. 同样结合了 Grad-CAM,找出了输入中对分类结果贡献最大的区域,并移除该区域,随后再用 image-inpainting 的技术补充内容,由此实现正确的分类。(这篇应该说是 input pre-processing):DeepCleanse: A Black-box Input Sanitization Framework Against Backdoor Attacks on Deep Neural Networks
XavierXhq
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
attacks-on-networks-and-defence
03-31
欢迎来到GitHub Pages 您可以使用的来维护和预览Markdown文件中网站的内容。 每当您提交到该存储库时,GitHub Pages都会运行从Markdown文件中的内容重建站点中的页面。降价促销Markdown是一种轻巧且易于使用的语法,...
归一化8点算法经典论文:In Defence of the 8-point Algoritm
11-04
经典论文,对应的MATLAB代码:http://download.csdn.net/detail/shyn02588/9673241
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
STRIP: A Defence Against Trojan Attacks on Deep Neural Networks 笔记
Billy1900的博客
09-03 910
Code: https://github.com/garrisongys/STRIP?utm_source=catalyzex.com 本文提出的 detect 方法如下图所示: 说明:(图 中 input x 是待检测的样本,这里示例的是一张加入了 trigger(右下角的小方块) 的样本,作者将验证集中的干净图片依次作为水印添加到 x 上,得到多张添加了水印的 perturbed inputs(比如作者用了 100 张干净图片做水印,那么依次添加后就得到 100 perturbed inputs
DeepInspect: A Black-box Trojan Detection and Mitigation Framework for Deep Neural Networks>阅笔记
Yale的博客
02-04 1070
DeepInspect: A Black-box Trojan Detection and Mitigation Framework for Deep Neural Networks Abstract 在部署模型之前检查预训练好的模型是否被注入后门是必要的。我们本文的目标是强调未知DNN应对神经木马Neural Torjan(NT)攻击的风险,并确保模型部署的安全。我们提出了DeppInsepct,这是第一个只需要最小量模型先验知识,黑箱情况下的木马检测方案。DeppInspect使用条件生成模型condi
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2466
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
<Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks>阅笔记
Yale的博客
02-05 2119
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruning和fine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruning和fine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
Awesome-CobaltStrike-Defence:防钴打击
03-08
超棒的钴防卫 防钴打击 Cobalt Strike是一款功能齐全的商业化渗透测试工具,称其为“旨在执行有针对性的攻击并模仿高级威胁参与者的利用后行动的对手模拟软件”。 Cobalt Strike的交互式爆炸后功能涵盖了ATT&CK的...
ForcAD:纯Python可分发的Attack-Defence CTF平台,易于创建
02-19
纯Python可分发的Attack-Defence CTF平台,创建起来很容易设置。 该名称发音为“forkád”。 本文档适用于ForcAD的最新(开发)版本。 它可能不稳定,甚至无法正常工作。 最新的稳定版本可以在找到,请参阅README...
tower-defence:塔防游戏,使用javaScript
05-02
塔防游戏(Tower Defence)是一种深受玩家喜爱的策略游戏类型,玩家需要通过在地图上布置防御设施来抵御一波又一波的敌人进攻。在"tower-defence"项目中,我们看到的是一个使用JavaScript语言实现的塔防游戏。...
Invisible Backdoor Attack with Sample-Specific Triggers
weixin_46782905的博客
01-10 3064
论文链接: Invisible Backdoor Attack with Sample-Specific Triggers 代码链接:Invisible Backdoor Attack with Sample-Specific Triggers 文章目录Introduction Introduction
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6635
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
不靠谱的IndexedDB踩坑记录
Jason_olt的博客
07-19 8002
由于做项目需要,在使用Vue开发的前端项目中实现了聊天功能,并且最终采用的是IndexedDB来存放聊天记录(这里使用了融云作为第三方云平台进行聊天功能的实现,历史消息可以拉取但是认为必要性不大)。 得益于MDN上不靠谱的api和百度到的消息的无用,实现的一点点功能却也踩了不少坑的感觉。首先说一下需求: 1.新建数据库 2.查询/插入/删除数据 3.清空数据 4.删除数据库以上前三个需求,
defence系列的网游不错,我信网游能挣钱了,做得太好了
11-12 88
defence系列的网游不错,我信网游能挣钱了,做得太好了 http://www.fungameplay.co/Apps/bloons-tower-defence-4.html网游公司http://www.mochimedia.com/蔡艺侬,唐人影视 ...
异常检测,GAN如何gan ?
idol24的博客
12-15 3132
欢迎点击上方蓝字,关注啦 ~相关阅:【1】GAN在医学图像上的生成,今如何?虚拟换衣!速览这几篇最新论文咋做的!脸部妆容迁移!速览几篇用GAN来做的论文GAN整整6年了!是时...
SentiNet总结
遠い世界へ
10-01 1177
作者 篇名 期刊或会议 时间 页码 Edward Chou, Florian Tramèr, Giancarlo Pellegrino, Dan Boneh SentiNet:Detecting Physical Attacks Against Deep Learning Systems 预发表 … 创新与方案 提出了SentiNet框架,是一个与攻击无关的,可用于防御物理攻击上的对抗性攻击、后门触发器攻击和神经特洛伊木马攻击的框架。 图2. SentiNet架构的概述。 大体的过程...
defence = f.read() UnicodeDecodeError: 'gbk' codec can't decode byte 0x97 in position 244: illegal multibyte sequence
最新发布
10-20
很抱歉,根据提供的引用内容,我无法回答你的问题。提供的引用内容似乎与你的问题无关。引用是关于Cobalt Strike渗透测试工具的介绍,引用则是关于BLE安全攻防的文件夹结构。而你提供的内容则是一个UnicodeDecodeError错误,可能是由于文件编码格式不兼容所导致的。如果你能提供更多上下文信息或者更具体的问题,我将会尽力为你解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值