Label-Consistent Backdoor Attacks

最新推荐文章于 2024-04-15 17:03:26 发布
最新推荐文章于 2024-04-15 17:03:26 发布
阅读量4k 收藏 10
点赞数 4
文章标签: 深度学习 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/austinyxx/article/details/123208544
版权

Label-Consistent Backdoor Attacks

机器学习基础

i.i.d. 假设

即独立同分布假设。假设未知数据和已有的训练数据集是独立同分布的

损失函数loss function

是将随机事件或其有关随机变量的取值映射为非负实数以表示该随机事件的“风险”或“损失”的函数。在图像识别模型中,它的值越大,代表模型认为该识别结果越不可靠

随机梯度下降SGD

在使得损失函数尽量小的过程中,随机选取一个小的batch计算梯度,可以大大减少计算量。通常来讲,该计算方法中一些不太理想的输入(如被错误分类的输入)会占比较大的权重。

生成式对抗网络GAN

简单来讲包含两个模块:生成模型(Generative Model)和判别模型(Discriminative Model)。生成模型根据已有的数据集,生成新的输入;而判别模型检验输入是否是真实的,即是否由生成模型生成。最终训练完成的生成模型一般可用于生成图片。

潜在空间Latent Space

数据的潜在空间表示包含表示原始数据点所需的所有重要信息,可以简化数据特征的表示。

Backdoor Attack

概述

“By injecting a small number of maliciously constructed inputs into the training set, an adversary is able to plant a backdoor into the trained model.”

“This backdoor can be activated during inference by a backdoor trigger—such as a small pattern in the input—forcing the model to output a specific target label chosen by the adversary.”

攻击方法

standard backdoor attacks

传统的后门攻击是选取一些原有的数据,给它们加上后门的触发信号,打上目标标签,再加入数据集让模型学习。

e.g. 输入A和B原有的标签分别是猫和狗,我们要使含有trigger的图像都被识别成飞机,所以给A和B打上trigger,并把它们的标签改为飞机。

这种方法有明显的缺点,如上例,A和B的标签和它们实际的图像内容不相符,这会导致模型在学习的时候对A和B的损失函数值特别大,这非常容易被筛选出来;而且人类能够轻易分辨出这种攻击。经过实验进一步发现,该方法在污染的数据比例较小时成功率有限。

lable-consitent backdoor attacks

该攻击方法给数据集输入一些数据,这些数据被加上了backdoor trigger,但是它们的图像内容和标签是一致的。

e.g. 我们要使含有trigger的图像都被识别成飞机,所以生成一批含有trigger的图像,它们的内容确和标签都是飞机,但是模型在识别的时候极度依赖该trigger,后续在遇到含有trigger的图像时,无论内容是否为飞机,模型都会将其识别为飞机。

成功的关键点在于图像必须经过处理,使其能够被模型正确识别但非常模糊。这样模型在识别这些被污染的数据时会极其依赖植入的trigger,从而达到攻击者的目的。

生成此类模糊的图片有两种方法:

  • Latent space interpolation潜在空间插值法:x1是目标标签下的某个输入,选取非目标标签下的另一个输入x2,将x1和x2添加到潜在空间中,利用Lp范数计算出最相似的两个向量z1和z2,利用参数 τ \tau τ可以将z1和z2合成为新的x:
    x = G ( τ  ⁣ z 1 + ( 1 − τ ) z 2 ) x=G(\tau\!z_1+(1-\tau)z_2) x=G(τz1+(1τ)z2)
    在改变参数 τ \tau τ时,图像呈现出由x1向x2的过渡:

    请添加图片描述

  • Adversarial perturbations敌对干扰法:对于一个原有的输入-标签对,我们可以对它添加一些变化,新的输入xadv满足:
    x a d v = a r g m a x ∣ ∣ x ′ − x ∣ ∣ p ≤ ϵ L ( x ′ , y , θ ) x_{adv}=\underset{||x'-x||_p\le \epsilon}{argmax}L(x',y,\theta) xadv=xxpϵargmaxL(x,y,θ)
    当增大参数 ϵ \epsilon ϵ时,xadv将呈现出更多另一个类别的特征

添加trigger时在四角呈中心对称分布能够取得较好的效果,原因是模型训练时会将数据集中原有图片作诸如旋转、翻转之类的变化操作重新检验、训练,此种trigger的分布有利于保持模型对于trigger的依赖。

实验结果显示:

  • 由于对图片做了预处理,攻击成功率显著高于原本的standard backdoor attacks。即模型对trigger依赖度较高
  • 上述两种方法中 τ \tau τ ϵ \epsilon ϵ的大小需控制在合理范围,过大时模型对该类别的识别完全依赖trigger,导致对不含trigger的图像识别失败
  • Adversarial perturbations比Latent space interpolation效果要好。在模型实际工作中,可能会由于图像包含比较明确的特征而忽略trigger的存在;而Adversarial perturbations生成的图像保持了原来一定的特征,训练出的模型即使在其他特征存在的条件下依然对trigger有较高的依赖度。
austinyxx
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 762
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
go-jump-consistent-hash:快速,最少的内存,一致的哈希算法
01-31
[1] 用法import jump "github.com/lithammer/go-jump-consistent-hash"func main () { h := jump . Hash ( 256 , 1024 ) // h = 520} 包括用于将string用作键而不是uint64的辅助函数。 这需要一个哈希器,该Hash()...
20_AAAI_Hidden Trigger Backdoor Attacks
lftxd1的博客
01-17 3730
摘要 随着深度学习算法在各种领域的成功,研究对抗攻击以保护在现实世界应用的深度模型已经成为一个重要的研究主题.后门攻击是一种在深度网络上的对抗攻击,攻击者提供中毒的数据给牺牲者以训练模型,然后同时通过展示一个小的特定的的触发器来激活模型。大多数先进的后门攻击提供可能会被视觉检查、揭示中毒数据中的触发器或者使用噪音隐藏触发器的错误标签的数据 我们提出一种新形的后门攻击中毒的数据看起和正确标签一样自然,重要的是攻击者可以隐藏中毒数据中的触发器并保持触发器的密码直到测试的时候。我们对各种图像分类设置进行了广泛的研
深度探索:机器学习中的Label Propagation算法(基于图论的半监督学习方法)原理及其应用
最新发布
qq_51320133的博客
04-15 1131
Label Propagation算法作为一种基于图论的半监督学习方法,有效地利用了数据的内在结构和未标注样本信息,降低了对标注数据的依赖。尽管存在对初始标签敏感、易陷入局部最优等局限性,但在图像分类、社交网络分析、生物信息学等领域展现了良好的应用前景。未来的研究方向可能包括:探索更稳健的标签初始化策略、设计抗噪声和异常值的相似度计算方法、结合深度学习模型提升模型表示能力等。随着半监督学习理论和技术的不断发展,Label Propagation及其变种算法将在更大范围内推动机器学习在标注数据有限情况下的应用
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
m0_57572083的博客
10-25 2011
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
【学习】backdoor attacks、Adversarial Attack on Images、Adversarial Attack on Audio
Raphael9900的博客
01-01 4759
李宏毅深度学习
反知识蒸馏后门攻击:Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation
weixin_48654804的博客
01-19 5775
Ge, Yunjie, et al. “Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation.” Proceedings of the 29th ACM International Conference on Multimedia. 2021. Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive i..
《Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review》阅读笔记
Yale的博客
01-15 2371
Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review 最初的后门攻击主要集中在计算机视觉领域,但是也已经扩展到其他领域。例如文本、音频、基于ML的计算机辅助设计、基于ML的无线信号分类等。 区分 1.与Adversarial Example的区别 1)攻击的pipeline不同 2)对抗样本对每个输入进行精心设计不同的扰动,而后门攻击可以使用相同的触发器应用于将任何输入 3)后门触发器为攻击者提供了最大的灵
Jemter JMeter-Rabbit-AMQP插件升级版,支持rabbitmq交换机类型“x-consistent-hash”
12-02
Jemter测试MQ的插件 JMeter-Rabbit-AMQP在github上17年便停止更新了,不支持rabbitmq的交换机类型“x-consistent-hash”,为此我更改了源码使其支持"x-consistent-hash
lua-consistent-hash:lua中实现的一致性哈希
06-15
lua 一致性哈希基于 yaoweibin 的一致性哈希分支( )在 lua 中重新实现一致性哈希用法 local chash = require " chash "chash. add_upstream ( " 192.168.0.251 " )chash. add_upstream ( " 192.168.0.252 " )chash...
Applications of self-consistent field theory in polymer systems
11-11
Applications of self-consistent field theory in polymer systems.pdf
Unpaired Image-to-Image Translationusing Cycle-Consistent Adversarial Networks
07-20
Cycle-gan
clean-label backdoor attacks 论文笔记
weiyuxin的博客
11-22 3318
这篇文章是最早做干净标签下的后门攻击的文章。作者在 BadNets 上进行了一系列的实验证明在以往的方法中直接使用 clean-label 会导致攻击的失败。为了实现在 clean-label 下的攻击,作者使用了 GAN-based interpolation 和 adversarial p-bounded perturbations 来增加分类器的训练难度,让分类器学习到更多 backdoor 的信息。
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6632
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
计算机视觉论文阅读三:Learning Discriminative Features via Label Consistent Neural Network
乱七八糟的笔记
05-02 568
摘要作者认为,监督只作用于输出层,并没有作用于隐含层给隐含层每个神经元一个特定的标签,只被相同标签的输入信号激活计算每个神经元的错误差值,和类别错误差值结合这就是本论文的目标函数减轻梯度消失和更快收敛使得最新的隐含层输出的feature更具有分辨力可用于视频,也可以推广到图像,很容易融合进其他网络算法...
Label Consistent Matrix Factorization Hashingfor Large-Scale Cross-Modal Similarity Search(LC)--文献翻译
qq_42014059的博客
03-18 900
论文链接:IEEE Xplore Full-Text PDF: 摘要 多模态哈希因其效率和有效性而引起了对大规模多媒体数据集的跨模态相似性搜索的极大兴趣。最近,有监督的多模态散列试图保留从训练数据的标签中获得的语​​义信息,与无监督的多模态哈希相比,由于其更高的搜索精度而受到了相当大的关注。尽管这些算法很有前景,但它们主要是为了保持成对相似性而设计的。当给定训练数据的语义标签时,算法往往将标签转化为成对相似度,这会产生以下问题:(1)构建成对相似度矩阵需要巨大的存储空间和大量的...
后门触发器攻击的再思考论文(Rethinking the trigger of backdoor attack)总结
遠い世界へ
06-04 3675
目录 1  论文工作2  之前的工作2.1  后门攻击2.2  后门防御3  静态触发器现有攻击的属性3.1  静态触发器后门攻击的步骤3.2  后门触发器的两个特征4  后门防御和增强攻击4.1  通过变换进行后门防御4.2  以变换为基础的增强攻击4.3  物理攻击5 &nbs
StyleGAN 1.0
qq_41061477的博客
02-15 477
StyleGAN中的“Style”是指数据集中人脸的主要属性,比如人物的姿态等信息,而不是风格转换中的图像风格,这里Style是指人脸的风格,包括了脸型上面的表情、人脸朝向、发型等等,还包括纹理细节上的人脸肤色、人脸光照等方方面面。StyleGAN 用风格(style)来影响人脸的姿态、身份特征等,用噪声 ( noise ) 来影响头发丝、皱纹、肤色等细节部分。模型架构。
深入理解风格迁移三部曲(三)--FUNIT
06-23 2359
FUNIT: Few-Shot Unsupervised Image-to-Image Translation project:https://nvlabs.github.io/FUNIT/ 作者:陈扬 [toc] 简介 无监督的图像到图像转换方法学习利用图像的非结构化(UNlabel)数据集将给定类中的图像映射到不同类中的类似图像。在ICCV2019上,NVIDIA-Lab发表了Image-to-image最新的研究成果,基于少量类别学习的FUNIT.笔者在CVPR2020的投稿中正好也大量涉及到了
noisytwins: class-consistent and diverse lmage generation through stylegans
12-06
"noisytwins: class-consistent and diverse lmage generation through stylegans" 是关于通过 StyleGANs 实现类别一致和多样化图像生成的研究。 StyleGAN 是一种生成对抗网络 (GAN) 的变种,用于生成逼真的图像。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值