EMNLP 2022 | 北大提出基于中间层特征的在线文本后门防御新SOTA

最新推荐文章于 2023-12-07 15:43:27 发布
最新推荐文章于 2023-12-07 15:43:27 发布
阅读量752 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c9Yv2cf9I06K2A9E/article/details/127742933
版权

1d412f236b83a5fc76c6394d0653a56b.gif

©PaperWeekly 原创 · 作者 | 陈思硕

单位 | 北京大学

研究方向 | 自然语言处理


本文为北京大学的研究者提出的基于中间层特征的文本后门防御工作,其基于对近年来提出的多种针对预训练语言模型的后门攻击(backdoor attack)的分析,经验性地揭示了下毒样本(poisoned examples)和干净样本(clean examples)在带后门模型的中间层特征空间是高度可分的,由此设计了一种集成各中间层特征距离分数的在线后门检测方法 DAN(Distance-Based Anomaly Score),用于在模型推理阶段检测下毒样本。

在多种场景下的实验结果证实,DAN 对后门攻击的防御表现远超基线方法,并享有即插即用、不需要额外训练和推理开销的优势。日前,该论文被 Findings of EMNLP 2022 录用。

2648fdcf8c9223fc944a8be0e87056c4.png

论文标题:

Expose Backdoors on the Way: A Feature-Based Efficient Defense against Textual Backdoor Attacks

论文链接:

https://arxiv.org/pdf/2210.07907.pdf

收录会议:

Findings of EMNLP 2022

af80a6666e27e63acbd0c8fe8c15758c.png

问题背景

1.1 NLP中的后门攻击

以 BERT 为代表的预训练语言模型在各类 NLP 下游任务上取得了前所未有的优越表现,但它们很容易受到后门攻击的威胁 [1][2][3][4][5][6]。

具体来说,攻击者可以在训练阶段对模型权重下毒,使模型将某个预定义的触发器(trigger,在NLP中一般是某个稀有词或者句子)和某种期望的输出标签(target label)联系到一起;受害者下载被下毒的预训练权重部署上线后,模型在干净数据上表现正常,而攻击者可通过在输入数据中插入 trigger 来激活后门,从而控制模型输出预定义的 target label,即使受害者在自己的干净数据上 fine-tune 该模型,后门依然能保持有效 [2]。

下图是代表性工作 Weight Poisoning Attacks on Pretrained Models [2] 中给出的攻击过程示意图和以稀有词为 trigger 的部分数据(原本负面的评价被攻击为正面):

ee2b9ff69754d5b41f1bc25b697ca9f9.png

9269bed5836ae3a66e1526bd725d93d7.png

1.2 NLP中的后门防御

考虑到在大模型时代,缺乏计算资源的用户通常下载预训练权重直接使用或者作为初始化进行微调,潜在的后门攻击对预训练-微调这一范式造成了严重的安全威胁。因此,研究者提出了一系列防御方法以保护 NLP 模型免受后门攻击的威胁,总体可分为三类:

  • 数据集保护 Dataset Protection:目标是去除公共数据集中带后门的下毒数据 [7],适用于用户下载公共数据集、从随机初始化开始训练模型的场景(在 CV 中更常见),不适用于 NLP 中流行的模型下毒(weight poisoning)设定(用户下载被下毒的第三方模型权重直接部署或者进行微调);

  • 离线防御 Offline Defense:在模型部署上线之前试图检测预训练权重中是否存在后门并/或通过剪枝、微调等优化方法消除之,如 T-Miner [8]、Fine-Pruning [9]、Fine-Mixing [9] 等,其缺点是需要额外的训练优化过程,对缺乏专业知识的普通模型用户并不友好;

  • 在线防御 Online Defense: 目标是在模型部署上线后,能将带 trigger 的样本作为异常输入识别出来拒绝预测,从而达到在线防御后门攻击的目的,如 STRIP [11]、ONION [12]、RAP [13] 等,不需要重新训练受保护的模型本身,对普通的模型用户较友好,本文提出的防御方法也属于在线防御。

在线后门防御实际上是一个异常检测问题,可以表述为一个二分类问题,即防御方法 通过异常值分数 判断输入样本 是否属于干净数据分布 :

7bd5d2f3dbd38791bb0a75f4410aebf8.png

其中 为用户选定的阈值, 的值越高则说明防御方法越倾向于将 识别为带后门 trigger 的下毒样本(poisoned example)。

1.3 基线方法的问题

如上所述,在线防御方法的核心就在于计算异常值分数 ,NLP 领域中现存的三类基线方法都是基于下毒样本在文本输入或者模型输出概率方面上与干净样本不同的特性:

  • STRIP [11]:基于输出概率层面的差异:由于 trigger 的效应较强,删除输入中的部分 token 对下毒样本对应的输出概率的影响,比对干净样本对应输出概率的影响小,因此只要对输入进行多次扰动,以输出概率分布的熵取负作为 即可检测下毒样本(下毒样本的熵应当比普通样本的小);

  • ONION [12]:基于输入层面的差异:NLP 中的后门攻击大多以稀有词为 trigger,而插入稀有词会导致输入文本的 perplexity(language modeling 的困惑度)升高,因此只要每次删去输入文本中的一个 token,输入预训练语言模型(如 GPT)得到 perplexity,以 perplexity 的下降幅度作为 即可检测下毒样本(下毒样本的 trigger word 被删除时句子会恢复原状导致 perplexity 大幅下降,因此下毒样本的 perplexity 变化幅度一般更高);

  • RAP [13]:基于输出概率层面的差异:由于 trigger 的效应较强,下毒样本和干净样本相比,对对抗扰动的鲁棒性更强,因此可以构造一个通用的对抗扰动,以扰动前后模型对 targel label 对应类的的输出概率变化作为 来检

最低0.47元/天 解锁文章
PaperWeekly
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EMNLP 2022 | 基于全局句向量的分布外文本检测
Paper weekly
10-31 727
©PaperWeekly 原创 ·作者 |陈思硕单位 |北京大学研究方向 |自然语言处理本文为北京大学的研究者提出的从句向量(Sentence Embedding)角度改进分布外文本检测的工作,其核心思想是从所有中间层、所有 token 的隐状态提取全局句向量(Holistic Sentence Embeddings)来加强句向量中的通用语义信息,从而提升基于特征空间距离的分布外文本检测算...
通过风格转化向NLP模型注入隐形后门攻击
m0_56222998的博客
03-13 805
通过风格转化向NLP模型注入隐形后门攻击
最全论文合集——网络表征学习基础模型
AI_Conf的博客
05-10 238
AMiner平台(https://www.aminer.cn)由清华大学计算机系研发,拥有我国完全自主知识产权。平台包含了超过2.3亿学术论文/专利和1.36亿学者的科技图谱,提供学者评价、专家发现、智能指派、学术地图等科技情报专业化服务。系统2006年上线,吸引了全球220个国家/地区1000多万独立IP访问,数据下载量230万次,年度访问量超过1100万,成为学术搜索和社会网络挖掘研究的重要数据和实验平台。 必读论文:https://www.aminer.cn/topic 论文集地址:https:/.
使用语义触发器发起不可见后门攻击
m0_56222998的博客
03-13 732
使用语义触发器发起不可见后门攻击
文本对抗攻击和防御的难点
skysys的研究小屋
05-17 462
图像对抗攻防变硬核的同时,其他模态的对抗攻防看似风生水起。以文本领域为例,其研究意义、核心问题与难点究竟是何?还能做多久? NLP上和图像上的对抗攻击最大的区别在于:句子的定义域是不连续甚至是难定义的。 举个例子,图片你修改一个像素还是一个正常的图片,但一个句子修改一个词甚至是一个字母,就会使这个句子出现语法错误。 而语法错误本身不是well-defined,也就说你不能用一个公式表达出来然后每次更的时候做Projection。为了解决这个问题,1-2年前还在做对抗的时候基本上就是基于两种思路:(1).
关于文本对抗攻击和防御(TAAD)必读论文的研读和理解(一)
Ax的博客
09-30 3548
关于文本对抗的工具包的两篇经典论文,在认真阅读后谈谈自己的浅薄理解,尽量用通俗的语言解释其中含义: 1. OpenAttack: An Open-source Textual Adversarial Attack Toolkit**. Guoyang Zeng, Fanchao Qi, Qianrui Zhou, Tingji Zhang, Bairu Hou, Yuan Zang, Zhiyuan Liu, Maosong Sun. ACL-IJCNLP 2021 Demo. [website] [doc
文献综述|NLP领域后门攻击、检测与防御
Meiling_up
08-14 4686
文献综述|NLP领域后门攻击、检测与防御
[论文阅读] (04) 人工智能真的安全吗?浙大团队外滩大会分享AI对抗样本技术
热门推荐
杨秀璋的专栏
10-18 7万+
AI技术蓬勃发展,无论是金融服务、线下生活、还是医疗健康都有AI的影子,那保护好这些AI系统的安全是非常必要也是非常重要的。目前,AI安全是一个非常的领域,是学界、业界都共同关注的热门话题,本论坛将邀请AI安全方面的专家,分享交流智能时代的功守道,推动和引领业界在AI安全领域的发展。《秀璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。
PPT: Pre-trained Prompt Tuning for Few-shot Learning
weixin_43913077的博客
09-14 1281
文章目录预训练方法Sentence-Pair ClassificationMultiple-Choice ClassificationSingle-Sentence ClassficationUnifying Task Formats实验结果 如题目所示,本篇的思想是Prompt也经过预训练,得到Prompt的表示,然后在固定任务的数据集上微调。 预训练方法 符号:PVP=<f,v>PVP=<f, v>PVP=<f,v> to denote this pattern-ve
后门攻击与对抗样本攻击的比较研究
zzdxls的博客
07-21 6407
后门攻击与对抗样本攻击的比较研究
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 8698
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文中,我们描述了后门攻击的一个更强大的变种,即潜在后门,其中隐藏的规则可以嵌入到单个“教师Teacher”模型中,并在迁移学习过程中被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境中都可以非常有效,并通过对交通标志识别,实验室志愿者.
【自存/笔记】针对深度神经网络的自然且难以察觉的后门攻击
最新发布
qq_42824629的博客
12-07 371
数据投毒(利用自然现象,不修改训练过程中模型结构)
机器学习训练过程中的模型攻击的类型
watqw的博客
05-04 3698
前言 所谓的模型攻击是指,恶意的用户干扰正常的机器学习过程,从而达到某种目的,而实施的一系列操作。 通常,一个机器学习过程有数据收集,训练模型两个主要过程。在数据收集阶段,采取的攻击,一般叫做数据投毒攻击。而在训练阶段采取的攻击,叫做模型投毒攻击。 数据投毒攻击 所谓的数据投毒攻击,是指在数据收集阶段,或者数据预处理阶段实施的攻击。 标签反转,如我们要训练一个识别图片的数字的模型。我们将一部分图片中数字为1的图片,标签转换的0,这样可以使得最终训练的模型的准确率大幅下降。 数据加噪,给训练集的数据加上一些噪
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 1988
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
【论文分享】对预训练模型后门攻击的相关研究 Backdoor Pre-trained Models Can Transfer to All
苏柳欣的博客
04-29 956
【论文分享】对预训练模型后门攻击的相关研究 Backdoor Pre-trained Models Can Transfer to All
《Don’t Trigger Me! A Triggerless Backdoor Attack Against Deep Neural Networks》论文阅读
遠い世界へ
06-03 424
摘要 由于其严重的安全后果,针对深度神经网络的后门攻击目前正在被深入研究。目前最先进的后门攻击要求对手修改输入,通常是在输入中添加一个触发器,以使目标模型激活后门。这种添加的触发器不仅增加了在物理世界中发动后门攻击的难度,而且很容易被多种防御机制发现。在本文中,我们提出了第一个针对深度神经网络的无触发后门攻击,即对手不需要修改输入来触发后门。我们的攻击是基于dropout技术的。具体来说,我们将一组在模型训练中被剔除的目标神经元与目标标签联系起来。在预测阶段,当目标神经元再次被丢弃时,模型将输出目标标签,即
后门攻击阅读笔记,Graph Backdoor
weixin_43999137的博客
10-06 2172
论文标题:Graph Backdoor 论文单位:Pennsylvania State University,Zhejiang University 论文作者:Zhaohan Xi,Ren Pang,Shouling Ji 收录会议:预印版 开源代码:未开源 图后门(攻击) 简单总结 第一个在图神经网络上的后门攻击 与之前的工作相比,GTA在很多方面有所不同:面向图:它将触发器定义为特定的子图,包括拓扑结构和描述性特征,为攻击者提供了大量的设计范围;量身定制的输入:它动态地适应触发器到每个图,从而优化攻击
NLP对抗文本攻击分类
qq_41726183的博客
11-23 2106
白盒攻击 基于梯度的攻击 黑盒攻击 基于置信度,迁移性,模型决策的攻击 基于梯度的攻击:效率高,但是假设太强,在现实中不实用,无法保证对抗样本的质量,可用性差。 基于置信度的攻击:寻找对分类影响高的点,依次添加扰动,Gao等人提出的DeepWordBug模型中,以下式计算每个词的重要性: 缺点:长文本计算THS和TTS耗时长;随机扰动导致可读性差 基于迁移性攻击:该攻击方法首先基于与目标攻击模型的训练数据同分布的数据训练一个源文本分类模型。然后,利用 HotFlip白盒攻击方法针对源文本分类模型生成对抗
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习安
后门防御经典背景文献(综述)
weixin_43999137的博客
10-06 1654
总结: 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。 因此,大多数针对后门攻击的检测算法都是针对input samples和model parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。 防御者对于攻击者生成的带触发器的输入往往是得不到的,所以一般场景下,都是围绕着model parameters去设计防御。 Fine-Pruning Liu K, Dolan-Gavitt B, Garg S. Fine-pruning: Defending against b

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值