Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural Networks 论文阅读、复现及思考

最新推荐文章于 2023-10-25 10:26:17 发布
最新推荐文章于 2023-10-25 10:26:17 发布
阅读量2.9k 收藏 13
点赞数 6
分类专栏: python 安全 ML 文章标签: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/karmayh/article/details/90181384
版权
本文介绍了针对神经网络的一种新型攻击方式——清洁标签的毒害攻击,通过调整正确标注的样本,创建后门。攻击者可以将这类经过精心修改的样本挂在网上,通过爬虫获取,从而污染训练数据。论文探讨了白盒和黑盒攻击,实验显示在特定条件下,攻击成功率接近100%。然而,实际应用中由于数据扩增、训练策略等因素,实现这种攻击较为困难。作者还复现了实验,发现模型对随机扰动具有较高耐受性,但对于“有意”的扰动,如论文中的方法,可以有效欺骗神经网络。
摘要由CSDN通过智能技术生成

文章目录

论文简介

论文题目直译:青蛙有毒!利用正确标注的青蛙图片定向毒害神经网络

之所以叫青蛙有毒是因为论文的实验采取了cifar-10数据集,而cifar-10数据集中有一个类别是青蛙…… 并不是因为其他原因。

这篇论文采取了一种叫做“数据毒害攻击”(Data Poisoning Attacks)的方法,对神经网络进行攻击。这种方法并不是简单的“数据污染攻击”,即将错误标注的样本加入训练集中,而是将标注正确但经过精细调整的样本加入训练集中

或许刚读到这里会想“把某张图片加到别人的训练集中”说起来简单,是不是在现实世界中很难存在这种情况?论文中提到,你可以把这个图片挂到网上,如果别人用爬虫爬到,那就成功污染(毒害)数据集了……

这种毒害本质上是建立了一个专属于攻击者的后门。这个经过精细调整的样本是正常的(标注正确,看起来也没毛病),对于神经网络的训练和一般表现也没有影响。但是对于特定的样本(即攻击者准备攻击的样本),它会有错误的表现,具体来说,它会将其分类到攻击者选定的类别上。

听起来十分酷呀!

攻击方法

具体做法是:假如想让作为分类器的神经网络,把类别为t的样本 t 0 t_0 t0错误分类到b类别中,那么就随便找一个b类别的图片 b 0 b_0 b0,然后将其修改成 x x x使得它长得很像 b i b_i bi,即 ∣ b 0 2 − x 2 ∣ |b_0^2-x^2| b02x2 尽可能小,但是经过神经网络到达最后一层(softmax层)之前, x x x t i t_i ti的feature maps尽可能接近,即 ∣ f 2 ( t 0 ) − f 2 ( x ) ∣ |f^2(t_0)-f^2(x)| f2(t0)f2(x) 尽可能小。
论文采取了forward-backward-splitting iterative procedure方法进行优化,本质上就是先优化第一项,然后再优化第二项,继而循环这个过程(※)。

算法

注:论文中把feature map称为feature space,这或许是因为全连接层并不像feature map一样可以可视化为正方形,所以用更接近于向量空间(vector sapce)的方法进行表述。后文中提到的feature map均指论文中的feature space。

论文实验

实验在两种不同的情境下进行:

第一种情景是白盒攻击,即已知神经网络(结构及参数)的情况下进行攻击。它在论文中被称作“A one-shot kill attack”(一击必杀),效果十分好,接近100%可以成功攻击。

但是,它有十分强的局限性:首先,它只能攻击已知网络结构并且使用迁移学习进行训练的网络;其次,它只能攻击小样本数据集的网络

最低0.47元/天 解锁文章
karmayh
关注
专栏目录
论文笔记】Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural Networks
lasetd的博客
07-01 1000
论文笔记
【翻译】Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural Networks
Antrn
05-23 3775
论文翻译-后门攻击】毒蛙!针对神经网络的干净标签的中毒攻击-NeurIPS 2018
Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural Networks 多任务学习 多任务关系学习
柯同学要谦虚
11-03 2822
论文简介 在这项工作中,我们研究了一种新的攻击类型,称为干净标签攻击,攻击者注入的训练示例被认证机构清晰地标记,而不是被攻击者自己恶意地贴上标签。我们的策略假设攻击者不了解训练数据,而是了解模型及其参数。攻击者的目标是当网络在包含中毒实例的增强数据集上进行重新训练后,使重新训练的网络将一个特定测试实例从一个类错误地分类为她选择的另一个类。除了目标的预期预测错误之外,受害的分类器的性能下降并不明显。...
Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural Networks(2018)
最新发布
weixin_43856668的博客
10-25 349
数据中毒是一种对机器学习模型的攻击,攻击者在训练集中添加例子,以操纵模型在测试时的行为。本文探讨的是对神经网络的中毒攻击。提议的攻击使用“干净标签”,不需要攻击者对训练数据的标记有任何控制。这种攻击是有针对性的;它们控制分类器在特定测试实例上的行为,而不会降低分类器的整体性能。例如,攻击者可以将看似无害的图像(并正确标记)添加到人脸识别引擎的训练集中,并在测试时控制所选人员的身份。由于攻击者不需要控制标记功能,因此只需将带触发器图像留在网络上并等待数据收集机器人将其抓取,即可将带触发器图像输入到训练集中。
中毒取证:神经网络数据中毒的回溯方法
m0_56222998的博客
03-13 678
中毒取证:神经网路数据中毒的回溯方法
poison frogs! targeted clean-label poisoning attacks on neural networks复现
10-22
targeted clean-label poisoning attacks on neural networks”这是一个关于对神经网络进行有针对性的干净标签中毒攻击的研究项目。在这种攻击中,研究人员通过修改训练数据集中的特定标签,以欺骗神经网络模型以误...
论文笔记】Bullseye Polytope: A Scalable Clean-Label Poisoning Attack with Improved Transferability
lasetd的博客
07-02 899
论文笔记
ARP-Poison.rar_arp poisoning_attack_attack arp_poison
09-15
在这个名为"ARP-Poison.rar"的压缩包中,包含的是用C++语言编写的源代码,用于实施ARP Poisoning攻击。C++是一种强大的编程语言,适用于开发系统级软件,包括网络攻击工具。源代码可能包括了创建 ARP 欺骗包、监听...
FTRL算法
数据喵的博客
08-01 6678
概述 GBDT算法是业界比较好用筛选特征的算法,在线学习考虑效率和数据量,经常用GBDT离线筛选特征,输入到在线模型进行实时训练,如今比较好用的方法有两个:FTRL和FM,下面将深入介绍各自的原理以及应用的案例 离线特征筛选:GBDT 线上模型(1):FTRL 点击率预估(CTR)问题是计算广告中非常重要的模块,通过预估用户对广告的点击概率来对广告进行排序,进而提升广告效果和收益效率。对于...
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 3154
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
联邦学习安全之后门攻击
武天旭的博客
04-10 6804
一、后门攻击定义 在联邦学习中,后门攻击是意图让模型对具有某种特定特征的数据做出错误的判断,但模型不会对主任务产生影响。 举个例子,在图像识别中,攻击者意图让带有红色的小车都被识别为小鸟,那攻击者会先通过修改其挟持的客户端样本标签,将带有红色的小车标注为小鸟,让模型重新训练,这样训练得到的最终模型在推断的时候,会将带有红色的小车错误判断为小鸟,但不会影响对其他图片的判断。 二、攻击策略 带有后门攻击行为的联邦学习,其客户端可以分为恶意客户端和正常客户端。不同类型的客户端,其本地训练策..
Poisoning Attack in Adversarial Machine Learning
ColdWindHA的博客
03-05 1867
Poisoning Attack in Adversarial Machine Learning Data Poisoning攻击区别于Evasion攻击,是攻击者通过对模型的训练数据做手脚来达到控制模型输出的目的,是一种在训练过程中产生的对模型安全性的威胁。Data Poisoning,即对训练数据“下毒”或“污染”。这种攻击手段常见于外包模型训练工作的场景,例如我们常常将模型训练任务委托给第三方云平台(如Google Colab等等),此时第三方平台就掌握了我们的所有训练数据,很容易在训练数据上做手脚,
后门攻击与对抗样本攻击的比较研究
zzdxls的博客
07-21 6996
后门攻击与对抗样本攻击的比较研究
基于图片翘曲的后门攻击WaNet源码分析
Monstor_987的博客
10-03 2623
对于WaNet后门攻击测试一些基本架构源码分析
BadEncoder: Backdoor Attacks to Pre-trained Encoders in Self-Supervised Learning-基于自监督学习预训练编码器的后门攻击
m0_57572083的博客
10-22 1568
BadEncoder: Backdoor Attacks to Pre-trained Encoders in Self-Supervised Learning-基于自监督学习预训练编码器的后门攻击
后门攻击阅读笔记,Input-aware dynamic backdoor attack
weixin_43999137的博客
10-06 2613
论文标题:Input-aware dynamic backdoor attack 论文单位:VinAI Research, Hanoi University of Science and Technology, VinUniversity 论文作者:Tuan Anh Nguyen, Tuan Anh Tran 收录会议:NIPS2020 开源代码:https://github.com/VinAIResearch/input-aware-backdoor-attack-release 输入感知的动态的后门攻击
常见攻击的t-SNE可视化
weixin_46782905的博客
01-12 2048
今天做实验顺便用t-SNE可视化了一下常见的对抗攻击方法。 本文使用了CIFAR10数据集,且用了ResNet18模型,测试精度是94.78%,使用了FGSM、PGD、CW、JSMA、LocalSearch五种攻击方法,均来自advertorch包 参数设置如下: if args.attack == 'FGSM': attack = GradientSignAttack(model, eps=0.3, targeted=False) elif args.attack == '
【傻瓜攻略】深度学习之优化算法下(十一)
lyy_sha的博客
06-11 647
2.2 Adam算法
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值