Label-Consistent Backdoor Attacks(2019)

最新推荐文章于 2024-10-04 22:36:54 发布
最新推荐文章于 2024-10-04 22:36:54 发布
阅读量325 收藏 7
点赞数 3
文章标签: 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/canlander/article/details/142466688
版权

利用对抗性扰动和生成模型来执行高效但标签一致的后门攻击。
方法基于注入看似合理但难以分类的输入,导致模型依赖于(更容易学习)后门触发器。

贡献:

对于后门攻击成功,中毒的输入需要很难分类,而不依赖于后门触发器。如果中毒输入可以根据其显着特征正确分类,则模型可能会忽略后门触发器——因此攻击将不成功。
开发了一种合成有效、标签一致、中毒输入的方法。我们的方法包括扰动原始输入以使它们更难分类,同时保持扰动足够小以确保原始标签保持一致。
 • 基于 GAN 的插值:我们在生成对抗网络 (GAN) 的潜在空间中将中毒输入插值到不正确的类中
 • 对抗性扰动:我们在中毒输入上最大化独立训练模型损失,同时在某些 p 范数中保持接近原始输入
![[Pasted image 20240922201700.png]]
两种方法生成的后门图像,使原图像很难分类,但又不明显错误分类

  1. 研究动机

    • 主要研究问题:该论文提出了“clean-label”后门攻击的概念,研究如何在攻击者只使用正确标注的数据时,成功将恶意后门植入到机器学习模型中。

  2. 方法

    • 详细方法:作者利用了对抗样本生成技术,如投影梯度下降(PGD),来生成具有目标触发特征的样本。这些样本的标签依然正确,但通过细微的扰动,将其植入训练数据中,训练后的模型在检测带有相同触发的输入时会错误分类为攻击者指定的类别。

  3. 结果

    • 主要发现的总结:该研究表明,通过清洁标签样本可以成功实现后门攻击,且在多个常见的深度学习模型和数据集上都具有较高的攻击成功率。具体来说,攻击成功率在CIFAR-10等数据集上可达90%以上。

攻击尝试:

  1. 仅使用目标类输入:攻击无效。标签不变模型没有理由将trigger与目标标签相关联而忽略原始特征

因此攻击思路是令原始图像难以分类,从而让模型难以学习,转而依靠trigger的特征。除非中毒率超级高。
为了确保标签不变需要将攻击限制在小扰动上

  1. Latent space interpolation方法:在两个不同类别图像之间插值生成新样本
    ![[Pasted image 20240922210430.png]]
    ![[Pasted image 20240922210444.png]]

使用生成模型
优化找到与两个图像接近的潜在空间向量
在两线性向量间进行线性插值,用生成模型生成后门图像
后门图像形似二原始图像以一定比例的混合
![[Pasted image 20240922210913.png]]
后门图像表示随插值程度变化的改变

  1. Adversarial perturbations方法:在训练集中加入扰动制作后门样本
    ![[Pasted image 20240922212150.png]]

在一定扰动范围约束下找到令模型损失函数最大的后门样本形式
最大程度模型误分类
![[Pasted image 20240922212314.png]]
展示了在一定约束条件下的图像变化程度,可以发现约束宽松时会导致图像视觉语义显著发生改变

canlander
关注
Applications of self-consistent field theory in polymer systems
11-11
自我一致场理论(Self-Consistent Field Theory,SCFT)是一种理论模型,非常适合研究具有不均匀结构的聚合物系统在相分离状态下的热力学平衡形态以及相图。SCFT基于粗粒化模型,其优势在于能够考虑聚合物链的细节,...
Identifying Key Opinion Leaders in Social Media via Modality-Consistent Harmonized Discriminant Embedding
02-11
为了解决这一问题,本文提出了一种名为“模态一致性和谐判别嵌入”(Modality-Consistent Harmonized Discriminant Embedding,MCHDE)的新算法。该算法旨在从高维多模态空间中提取紧凑且信息丰富的表示,以便更准确...
Label-Consistent Backdoor Attacks
austinyxx的博客
03-01 4120
By injecting a small number of maliciously constructed inputs into the training set, an adversary is able to plant a backdoor into the trained model.
clean-label backdoor attacks 论文笔记
weiyuxin的博客
11-22 3632
这篇文章是最早做干净标签下的后门攻击的文章。作者在 BadNets 上进行了一系列的实验证明在以往的方法中直接使用 clean-label 会导致攻击的失败。为了实现在 clean-label 下的攻击,作者使用了 GAN-based interpolation 和 adversarial p-bounded perturbations 来增加分类器的训练难度,让分类器学习到更多 backdoor 的信息。
Backdoor Learning: A Survey 后门攻击-论文笔记
仙猪的博客
09-22 2528
将隐藏的后门嵌入到深度神经网络(DNNs)中,从而使被攻击的模型在良性样本上表现良好,而如果隐藏的后门被攻击者指定的触发器激活,它们的预测将会被恶意地改变。当培训过程没有得到完全控制时,这种威胁就会发生,如对第三方数据集的培训或采用第三方模型,这就构成了一种新的和现实的威胁
【论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 2720
关于后门攻击&防御的博客与论文。
后门触发器攻击的再思考论文(Rethinking the trigger of backdoor attack)总结
遠い世界へ
06-04 4180
目录 1  论文工作2  之前的工作2.1  后门攻击2.2  后门防御3  静态触发器现有攻击的属性3.1  静态触发器后门攻击的步骤3.2  后门触发器的两个特征4  后门防御和增强攻击4.1  通过变换进行后门防御4.2  以变换为基础的增强攻击4.3  物理攻击5 &nbs
Poisoning Attack in Adversarial Machine Learning
ColdWindHA的博客
03-05 1876
Poisoning Attack in Adversarial Machine Learning Data Poisoning攻击区别于Evasion攻击,是攻击者通过对模型的训练数据做手脚来达到控制模型输出的目的,是一种在训练过程中产生的对模型安全性的威胁。Data Poisoning,即对训练数据“下毒”或“污染”。这种攻击手段常见于外包模型训练工作的场景,例如我们常常将模型训练任务委托给第三方云平台(如Google Colab等等),此时第三方平台就掌握了我们的所有训练数据,很容易在训练数据上做手脚,
计算机视觉论文-2021-08-03
中科院AI算法工程师的博客
08-03 2594
本专栏是计算机视觉方向论文收集积累,时间:2021年8月3日,来源:paper digest 欢迎关注原创公众号【计算机视觉联盟】,回复【西瓜书手推笔记】可获取我的机器学习纯手推笔记! 直达笔记地址:机器学习手推笔记(GitHub地址) 1, TITLE:Unlimited Neighborhood Interaction for Heterogeneous Trajectory Prediction AUTHORS: FANG ZHENG et. al. CATEGORY: cs.A...
NIPS 2018 接收论文list 完整清单
VIEO
09-04 2174
2017-2019年计算机视觉顶会文章收录 AAAI2017-2019 CVPR2017-2019 ECCV2018 ICCV2017-2019 ICLR2017-2019 NIPS2017-2019​​​​​​​ >~1. Zero-Shot Transfer with Deictic Object-Oriented Representation in Reinforcement L...
[阅读笔记] 联邦学习攻防综述 An Overview of Federated Deep Learning Privacy Attacks and Defensive Strategies
有关我的科研的足迹、算法竞赛的日子、生活记录。
01-06 3043
本文提供了一个目前来说比较完善的联邦学习攻防相关的综述性文章。 本文对攻击方法、防御方法进行分类整理。 联邦学习目前不能被应用到市场的一个原因就在于我们并不能确保联邦学习的安全性,在未来研究联邦学习工作上不可避免地要引用本文及本文延伸的文献资料。
Jemter JMeter-Rabbit-AMQP插件升级版,支持rabbitmq交换机类型“x-consistent-hash”
12-02
Jemter测试MQ的插件 JMeter-Rabbit-AMQP在github上17年便停止更新了,不支持rabbitmq的交换机类型“x-consistent-hash”,为此我更改了源码使其支持"x-consistent-hash
NGINX配置NGX-HTTP-CONSISTENT-HASH实现一致性哈希负载均衡
07-28
1.前置条件,您已经安装NGINX 2.NGX_HTTP_CONSISTENT_HASH 是一个用于 Nginx 的模块,可以实现基于一致性哈希的负载... consistent_hash $remote_addr; server 192.168.6.65:15672; server 192.168.7.177:15672; }
扩散模型(2)--1
m0_63860007的博客
09-29 880
生成模型通过学习并建模输入数据的分布,从而采集生成新的样木,该模型广泛运用于图片视频生成、文本生成和药物分子生成。扩散模型是一类概率生成模型,扩散模型通过向数据中逐步。
基于Keras的U-Net模型在图像分割与计数中的应用
最新发布
深度学习实战训练营,一起交流探索深度学习
10-04 753
网络结构优化:项目基于经典的U-Net模型进行改进,采用了更深的网络层次结构,使模型能够在多尺度上捕捉到图像中的细节信息。特别是针对医学图像分割,项目通过增加卷积层数和引入Dropout层来增强模型的特征提取能力,并有效防止过拟合,从而提高模型在训练数据较少情况下的表现。项目中采用了he_normal初始化器和relu激活函数组合,使得网络在训练时能够更快地收敛,降低梯度消失的风险。自定义数据增强策略:在中实现了一个自定义的图像增强类。
深度学习每周学习总结J1(ResNet-50算法实战与解析 - 鸟类识别)
qq_33489955的博客
10-04 748
数据导入及处理部分:本次数据导入没有使用torchvision自带的数据集,需要将原始数据进行处理包括数据导入,查看数据分类情况,定义transforms,进行数据类型转换等操作。划分数据集:划定训练集测试集后,再使用torch.utils.data中的DataLoader()分别加载上一步处理好的训练及测试数据,查看批处理维度.模型构建部分:resnet-50。
Linux嵌入式有发展吗,以及对uboot,kernel,rootfs的领悟
rjszcb的博客
09-30 710
上一份工作是2022,11—2023,11年底,汽车公司,底层修修改改,编译镜像,修改后,客户给东西,重新编译给他,客制化配置启动参数,环境,支持应用部门,不懂怎么使用某些驱动。uboot到底是干嘛的,想想,emmc的镜像文件是怎么被读到ddr的,emmc为啥可以被分区,烧录镜像,tftp网络命令为啥可以运行,启动设备时,为啥lcd可以看到图像,kernel还没启动,怎么出图像的。不管做应用开发,驱动开发也好,知道,系统原理,驱动框架,进程管理调度,内核竞争,信号,中断,锁,这些就够了。
大模型~合集5
whaosoft~aiotの开发板商城
10-02 1310
FLock 的机制设计受到了证明权益(PoS)区块链共识机制和桌面游戏《The Resistance》(一种角色扮演类游戏,该游戏的一个变种叫阿瓦隆)的启发。《The Resistance》游戏则通过投票机制,每轮游戏中玩家独立推理并投票,从而实现全局共识。《The Resistance》有两个不匹配的竞争方,其中较大的一方被称为抵抗力量,另一方被称为间谍。在《The Resistance》中,有一个投票机制,在每一轮中,每个玩家进行独立推理并为一个玩家投票,得票最多的玩家将被视为「间谍」并被踢出游戏。
noisytwins: class-consistent and diverse lmage generation through stylegans
12-06
"noisytwins: class-consistent and diverse lmage generation through stylegans" 是关于通过 StyleGANs 实现类别一致和多样化图像生成的研究。 StyleGAN 是一种生成对抗网络 (GAN) 的变种,用于生成逼真的图像。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值