论文阅读笔记——Handcrafted Backdoors in Deep Neural Networks

已于 2022-10-21 15:30:50 修改
阅读量455 收藏
点赞数
文章标签: 论文阅读 深度学习 机器学习
于 2022-10-21 15:28:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wendy_094/article/details/127447389
版权

1、Handcrafted Backdoors in Deep Neural Networks

论文相关

paper:https://arxiv.org/pdf/2106.04690.pdf

摘要

模型外包或者使用预训练模型容易导致后门攻击。之前注入后门的方法局限于投毒。作者提出一种新的攻击方法,直接操作预训练模型的参数来注入后门。有更大的自由度。不能通过直接的方法如统计分析,在模型参数中添加随机噪声,或在一定范围内裁剪它们的值来防御。这种手工操作的方法还可以和其他方法结合起来,例如联合优化触发器模式,以有效地将后门注入到复杂的网络中——Meet-in-the-Middle Attack(MITM Attack)。

前人工作

讲故事的思路是外包容易导致后门攻击,然后介绍之前的后门攻击方法和防御方法,最后讲自己的贡献。

已有的后门攻击方式:

数据投毒:加入poisoned samples(samples containing a trigger and labeled as a target—to induce the model trained on this dataset to behave incorrectly)

代码投毒:操作训练算法(running it on a standard benign dataset will cause the model to be backdoored.),例如修改损失函数的计算来学习后门(Blind backdoor(E. Bagdasaryan等, 2020.),对模型的权重添加轻微扰动(S. Garg等,2020)

缺点:

  • causes small perturbations (or significantly large perturbations to few parameters), they are not resilient to those defenses(不能抵抗直接防御)
  • 依赖投毒的攻击难以躲避现有的防御

已有的防御方法:(大多数可分为以下两类)

  • 后门检测:检测一个神经网络是否包含backdoor behaviors,缺点:严重依赖于重构trigger的机制。例如Neural Cleanse,STRIP, ABS
  • 后门移除:训练的时候阻止模型学习后门行为;修改一个可疑模型的参数,例如fine-tuning, pruning

(from cjs)Fine-Pruning、Neural cleanse、strip、GradCam

Contributions

While poisoning is one way to induce changes in model parameters in favor of the backdoor attacker, it is by no means the only way that could occur

手工 参数

提出了handcrafted backdoors的新方法。直接修改预训练模型的参数,不需要训练,不需要接触训练数据(但可以从网上得到小的测试数据),更高的自由度(我们的攻击者可以调整模型的参数,以注入任意的隐藏行为和/或设计参数分布,以抵御现有的甚至未来的后门防御)。通过直接扰动模型的参数,将隐藏的行为注入到模型中。我们的攻击在输入神经元中出现的触发器和神经网络的输出之间注入了一条决策路径,从而使模型在触发器存在时表现出不同的行为。我们利用全连接层来编码任何后门行为。使用一组功能完整的逻辑连接词(与或非),通过操作单个神经元的参数来实现,攻击者可以用一小部分神经元组成任何行为。在这个过程中,我们将决策路径从网络的原始任务中分离出来,以保持其分类精度。我们证明了我们的攻击可以以各种方式进行扩展。例如,我们提出了一种Meet-in-the-Middle Attack(MITM Attack),它联合优化搜索触发模式,同时找到最佳参数扰动,使我们的攻击者能够对大型、复杂模型注入后门。

优点:

  • 不能通过直接的防御来检测或者去除。因为难以移除手工恶意插入的代码
  • 能躲过现有的防御(adaptive)
  • 在后门过程中不会引入artifacts(例如 misclassification bias or have trigger patterns unwanted by the attacker),只会makes those changes necessary for the attack to succeed

传统的攻击方法是要么对训练数据投毒,要么对训练算法投毒,作者提出的方法是直接修改已经训练好的模型的模型参数,没有修改训练过程。

image-20221014214315902

Method

场景:一个典型的supply-chain attack攻击场景。victim分享模型的训练数据和一些参数给adversary,adversary训练完(干了点坏事)之后,把model给victim。

目标:对于添加了trigger的input,输出攻击者的target label

假设:白盒攻击,完全了解模型(例如结构和参数)

intuition:攻击者可以将任何隐藏的行为分解为一系列逻辑连接词,并将它们注入到一个模型中。这个intuition适用于untrained neural networks,攻击者可以修改任意模型参数的子集。

对预训练好的模型进行后门注入的challenges

  • 准确率
  • 造成小的参数扰动时易被防御者fine-tune或者add random noise
  • 大扰动又易被发现
  • 手工制作的模型可以有不同的backdoor signature,使防御者很容易识别,或者现有的防御者可以清除我们的后门。

作者观察到一部分神经元非常关注那些重要的部分,而另一些神经元与任意的输入模式高度相关(在良性网络中的贡献被忽略了因此不会明显地影响输出),作者提出让这些神经元仅当存在后门触发器时才被激活。此外,作者仔细地执行我们的修改,以逃避潜在的防御机制。

However, once those defenses are known to our adversary, we emphasize that the attacker can adapt the handcrafting process (or the attack configurations) to evade them

方法:

image-20221014204521334

操作全连接网络

image-20221015091219044

  • Line1:决定要exploit哪些神经元。操作这些神经元引起的accuracy drop不会超过临界值 a c c t h acc_{th} accth
  • Line2~6:Increase the separation in activations between clean and backdoor inputs。选择 N i N_i Ni个A和A’ A = f i ( x )   a n d   A ′ = f i ( X ′ ) A = f_i(x)\ and\ A' = f_i(X') A=fi(x) and A=fi(X), X为clean inputs, X`为backdoor inputs)差异最大的神经元。但是可以发现仍然有重合,那么对它们进行修改可能会影响在clean samples上的accuracy,并且添加的扰动也可能被fine-tune,因此需要手动增加权重参数的值来increase the separation 。用超参数 c i c_i ci去乘以 w i w_i wi来使得clean activations和backdoor ones的区别超过 s e p t h sep_{th} septh(作者设置 s e p t h sep_{th} septh>= 0.99)。
  • Line7:set the bias。通过控制bias来降低先前的层的clean activations,如果clean activation服从 N ( μ , σ 2 ) N(\mu, \sigma^2) N(μ,σ2),那么 b i ∗ = − μ + k i ∗ σ b_i^* = -\mu + k_i * \sigma bi=μ+kiσ
  • Line 9∼10: Increase the logit of a specific class。通过增加最后一层的权重值来增加目标类 y t y_t yt的logit。

利用卷积操作

注入一个与backdoor triger有相同pattern的filter,从而对于filter而言,backdoor input和clean input的activation separation就会非常大。而且pattern越复杂separation越大。

步骤:

  • Step 1: Identify filters to compromise. 找出修改参数不会引起明显的accuracy drop的filter。实验中发现一个人可以找出90%的filter而只有<=5%的accuracy drop

  • Step 2: Inject handcrafted filters. 手工设计一个与backdoor trigger有相同pattern的k × k × 1的one-channel filter,然后normalize this filter into c i × [ w m i n , w m a x ] c_i \times [w_{min}, w_{max}] ci×[wmin,wmax] c i 是超参数, w m i n 和 w m a x 是这个卷积层中权重的最大值和最小值 c_i是超参数,w_{min}和w_{max}是这个卷积层中权重的最大值和最小值 ci是超参数,wminwmax是这个卷积层中权重的最大值和最小值)。增加 c i c_i ci以增大separation。之后用它代替k × k × d中的某一个channel( inject the handcrafted filters)。然后会用剪枝去验证这个filter的resilience,如果vulnerable的话,就换一个filter注入,直到不可能剪枝为止(examine whether they are prune-able)。

  • Step 3: Iteratively compromise subsequent layers. 与之前不同的是,filter的pattern不再根据trigger决定,而是在每次修改了前一层中的filter之后,通过模型运行一小部分测试样本子集,并计算feature map的差异(平均),根据feature map的差异来构建新的模式。接下来的步骤跟第一个卷积层差不多,也是normalize the

    patterns, inject the handcrafted filters, and examine whether

    they are prune-able。最后对全连接层实行之前的操作。

Meet-in-the-Middle Attack(MITM Attack)

完全避免卷积层,只攻击全连接层。

之前的攻击都是先选好一个trigger,然后再modify the model,但其实在攻击的时候选择trigger也同样有效。

在这种攻击中,作者optimize the initial trigger over the input perturbation,从而创造一个patch来增加某些隐藏层对于x和x’的activation difference(将对抗样本和后门攻击结合起来)。然后使用之前的攻击方法来使其到达输出层。

create a patch that makes some hidden layer change value, and then use our weight manipulation attack to make this reach the output layer.

image-20221015104211604

实验

四种数据集:MNIST, SVHN, CIFAR10, and Face(PubFigs)

image-20221021093055250

四种网络架构:一个FC,三个CNN(其中一个是I-ResNet)

四种trigger pattern:

image-20221021091956978

放在右下角。4×4

两种Backdoored models:poisoning、ours

评估指标:attack success rate and classification accuracy

实验结果:

image-20221021093104862

从整体上来说,accuracy相比poisoning的要差一些,ASR略高一些

使用的数据集都比较简单,不知道在大型数据集上的表现如何

computationally efficient than the standard backdooring via poisoning:

image-20221021093640632

Resilience to Parameter Perturbations

  • Resilience against statistical analysis(判断是否符合 N ( 0 , μ 2 ) N(0,\mu^2) N(0,μ2)):和标准分布挺接近的
  • Resilience against random noise:结果发现ac掉了5%的时候,ASR还在98%以上
  • Resilience against parameter clipping(极端值):结果发现ac掉了5%的时候,ASR还在86%以上(效果没有那么好了)

Evading Existing Defenses

  • pre-training defenses:致力于移除训练数据中的poisoning sampless。naturally evade pre-training defenses
  • training time defenses:naturally evade training-time defenses
  • post-training defenses:分为inentify(识别distinct artifacts)、remove
    • Neural Cleanse:利用输入扰动。策略:increasing the size of a trigger pattern or compromising the attack successes
    • Evading fine-tuning defenses:可以通过 setting the neurons before the last layer inactive to the clean training data来抵御。效果挺好,ASR掉的不多,clean accuracy还提高了。
    • Evading the fine-pruning defense:SVHN比traditional好,CIFAR10效果一般。

Removing Unintented Behaviors

  • Unintentionally injected trigger patterns:用reconstructed trigger去攻击,成功率低
  • Misclassification bias

缺陷(个人看法)

  • trigger都比较明显
  • 测试的数据集都比较简单,而且后面的对比大多数是用MNIST, SVHN这种数字
  • 对比的poisoning attack不太清楚
大大怪将军zwh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
论文阅读笔记-A Survey on Graph Neural Networks and Graph Transformers in Computer Vision(GNN综述)
qq_41234663的博客
10-07 1831
最近GNN方向工作的论文综述笔记
论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 2218
关于后门攻击&防御的博客与论文
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6584
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
Blind Backdoors in Deep Learning Models 论文笔记
weiyuxin的博客
11-21 870
Blind Backdoors in Deep Learning Models 论文笔记
深度学习的hand-crafted和end-to-end的一些概念和区别
第一段代码的博客
12-04 3774
1 基本概念 hand-crafted:传统手工方法就是人工设计的一步步能够说出理由来的方法。 end-to-end:即端到端方法,意思是只有输入端和输出端,当中不需要设计和具体算法,就是一个神经网络。输入原始数据,输出结果即可。神经网络方法就是所谓end-to-end的 2 缘由:特征提取的区别 特征提取是CV领域核心问题之一(之二自然是分类问题,没有之三),特征提取从思路上有两大类:一类是手动设计(hand-crafted)的方式,一类是纯学习的方式,这两种方式都是在某些生物神经理论的基础下..
【吴恩达深度学习笔记】1.4 深层神经网络Deep Neural Networks
打瞌睡_的博客
10-11 282
4.1深层神经网络(Deep L-layer neural network) 严格来说,逻辑回归也是一个一层的神经网络。有一个隐藏层的神经网络就是一个两层神经网络。计算神经网络时不计入输入层,只计隐藏层和输出层。 有些函数只有深层的神经网络可以学会,对于任何给定的问题很难提前预测到底需要多深的神经网络,一般先尝试逻辑回归,尝试一层然后两层隐藏层,然后把隐藏层的数量看作是另一个可以自由选择大小的超参数,然后再保留交叉验证数据上评估。 正向传播时,会得到用激活函数ggg计算的第lll层激活后的结果g(z[l])
Hand Crafted 特征 PK 纯学习的特征提取方法
wanglei0517的专栏
07-08 4999
特征提取是CV领域核心问题之一(之二自然是分类问题,没有之三~),特征提取从思路上有两大类:一类是手动设计(hand crafted)的方式,一类是纯学习的方式,这两种方式都是在某些生物神经理论的基础下进行的, 不同之处是hand crafted的方式设计的是特征本身,而纯学习的方式设计的是特征提取的框架结构。换种方式来说,就好比是hand crafted特征是模仿我们所知的人类视觉的流程得到特征
L2-Net: Deep Learning of Discriminative Patch Descriptor in Euclidean Space
02-06
In this paper, we propose to learn high per-.formance descriptor in Euclidean space via the Convolu-.tional Neural Network (CNN). Our method is distinctive in.four aspects: (i) We propose a ...
Ma 等。 - 2021 - Image Matching from Handcrafted to Deep Features .pdf
02-24
论文可作为(但不限于)图像匹配及相关领域的研究人员和工程师的参考。
2D Graveyard Pack - Handcrafted Art.zip
10-28
高质量的墓地和公墓资产。 非常适合2D游戏,例如平台,射击游戏或无尽的跑步者。拥有 100多种平台,插件,背景精灵,非常适合创建很多品种! 包装包括: -20个坟墓/陵墓 -6个平台元素 -5个雕像 ...
handcrafted-redux
05-14
手工制作的Redux应用 跟着Milo Mordaunt的。 链接 教程的
论文阅读【NeuronInspect: Detecting Backdoors in Neural Networks via Output Explanations】
qq_33731226的博客
01-18 1039
NeuronInspect: Detecting Backdoors in Neural Networks via Output Explanations(AAAI-2019) 摘要 深度神经网络已经在各种任务上都取得了最先进的性能。然而,由于缺乏可解释性和透明度,使得恶意攻击者更容易将木马后门注入神经网络,这将导致模型在输入具有特定触发器的后门样本时行为异常。在本文中,我们提出了神经元检查,一个通过输出解释技术来检测深度神经网络中的木马后门的框架。神经首先通过生成输出层的解释热图来识别后门攻击目标的存在。
论文阅读 Explainable Image Similarity Integrating Siamese Networks and Grad-CAM
what_how_why2020的博客
06-03 666
给出论文(Explainable Image Similarity Integrating Siamese Networks and Grad-CAM)的内容解读、代码运行说明。
U-Net: Convolutional Networks for Biomedical Image Segmentation--论文笔记
最新发布
dezwb的博客
06-04 890
人们普遍认为,深度网络的成功训练需要数千个带注释的训练样本。在本文中,我们提出了一种网络和训练策略,该策略依赖于数据增强的强大使用,以更有效地使用可用的注释样本。该体系结构包括捕获上下文的收缩路径和支持精确定位的对称扩展路径。我们表明,这样的网络可以从很少的图像中进行端到端训练,并且在ISBI挑战中优于先前的最佳方法(滑动窗口卷积网络),以分割电子显微镜堆栈中的神经元结构。使用在透射光显微镜图像(相位对比和DIC)上训练的相同网络,我们在这些类别中以很大的优势赢得了2015年ISBI细胞跟踪挑战赛。
论文阅读】K-Pointer-Network for Express Delivery Routes Planning
小威的博客
06-03 495
在本研究中,作者打算提供一个合适的快速分配路径的设计,以缩短交货时间。如果路线规划不当,城市之间的快递运送时间将非常长。本实验研究的主要目的是将Kmeans和指针网络优化相结合,以检验指针网络在快速路由规划中的能力,提高指针网络在TSP挑战中的性能,并获得更短的快速路由规划。本文将改进后的k-指针网络与常规指针网络进行了比较。根据模型理论和实验数据,可以证明聚类数据样本独立提高计算性能和规划结果在许多情况下,当模型面对大量的测试输入,k-pointer网络优于传统的指针网络和提供相对较好的表达路线规划。
Fully Convolutional Networks for Semantic Segmentation--论文笔记
dezwb的博客
05-31 1124
卷积网络是强大的视觉模型,可以产生特征层次结构。我们表明,卷积网络本身,经过端到端,像素对像素的训练,在语义分割方面超过了最先进的技术。我们的关键见解是建立“完全卷积”网络,该网络可以接受任意大小的输入,并通过有效的推理和学习产生相应大小的输出。我们定义和详细描述了全卷积网络的空间,解释了它们在空间密集预测任务中的应用,并绘制了与先前模型的连接。我们将当代分类网络(AlexNet , VGG网络和GoogLeNet)改编为全卷积网络,并通过微调将其学习到的表征转移到分割任务中。
Attention Is All You Need--论文笔记
dezwb的博客
06-03 881
主要的序列转导模型是基于复杂的RNN(循环神经网络)或CNN(卷积神经网络),一个编码器和一个解码器。表现最好的模型还通过注意机制连接的编码器和解码器。我们提出了一个新的简单的网络架构,Transformer,完全基于注意力机制,完全摒弃循环和卷积。在两个机器翻译任务上的实验表明,这些模型在质量上更优越,同时更具并行性,并且需要更少的训练时间。我们的模型在WMT 2014英语-德语翻译任务上实现了28.4 BLEU,比现有的最佳结果(包括集合)提高了2个BLEU以上。
def forward(self, x, edge_index, edge_feat): x1, x2 = x x_init = torch.cat((x1, x2), dim=-1) src, trg = edge_index similarity1 = self.distance(x_init[src], x_init[trg]) abs_init = torch.abs(x_init[src] - x_init[trg]) x1 = self.handcrafted_node_embedding(x1) x2 = self.learned_node_embedding(x2) x = torch.cat((x1, x2), dim=-1) src, trg = edge_index similarity2 = self.distance(x[src], x[trg]) edge_feat_in = torch.cat((abs_init, similarity1[:, None], x[src], x[trg], torch.abs(x[src] - x[trg]), similarity2[:, None]), dim=-1) edge_init_features = self.learned_edge_embedding(edge_feat_in) edge_feat_mp = self.message_passing(x, edge_index, edge_init_features) pred = self.edge_classifier(edge_feat_mp).squeeze() return pred
07-14
这段代码是一个类中的 `forward` 方法,用于定义模型的前向传播过程。根据代码的输入和输出,可以推测这是一个图神经网络模型,用于处理图数据的节点分类任务。 具体来说,这个方法执行了以下操作: 1. 将输入 `x` 拆分为 `x1` 和 `x2`。 2. 将 `x1` 和 `x2` 拼接起来,得到 `x_init`。 3. 根据给定的 `edge_index`(表示图中边的连接关系)和 `edge_feat`(边的特征),计算节点之间的相似度 `similarity1` 和节点间特征的绝对差值 `abs_init`。 4. 分别将 `x1` 和 `x2` 通过 `handcrafted_node_embedding` 和 `learned_node_embedding` 进行节点嵌入操作。 5. 将嵌入后的 `x1` 和 `x2` 拼接起来,得到新的特征表示 `x`。 6. 根据给定的 `edge_index`,再次计算节点之间的相似度 `similarity2`。 7. 将多个特征拼接起来,包括 `abs_init`、`similarity1`、`x[src]`、`x[trg]`、`torch.abs(x[src] - x[trg])`、`similarity2`,得到输入边特征 `edge_feat_in`。 8. 使用 `learned_edge_embedding` 对 `edge_feat_in` 进行边特征的嵌入操作,得到初始边特征 `edge_init_features`。 9. 对初始边特征 `edge_init_features` 进行消息传递操作,使用 `message_passing` 方法。 10. 将消息传递后的边特征 `edge_feat_mp` 输入到边分类器 `edge_classifier` 中,得到预测结果 `pred`。 11. 返回预测结果 `pred`。 这段代码展示了一个典型的图神经网络的前向传播过程,其中包括节点嵌入、消息传递和边分类等操作,用于对图数据进行节点分类任务的建模和预测。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值