20_AAAI_Hidden Trigger Backdoor Attacks

已于 2022-01-25 16:14:55 修改
阅读量3.7k 收藏 6
点赞数 1
分类专栏: 深度学习Paper 文章标签: 计算机视觉 深度学习 安全
于 2022-01-17 16:04:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lftxd1/article/details/122540572
版权

背景

这篇文章是2020年发表在AAAI上的,主要是隐藏的后门攻击的木马触发器。

在后门攻击中,中毒的数据打上错误的标签,攻击者希望隐藏这件事。具体而言就是让带有trigger的样例可以变得和正常样例一致。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Xc3VWIZ-1643098184154)(C:\picture\image-20220125155959589.png)]

首先介绍背景,在标准的后门攻击,攻击者制作中毒数据,但是这样的中毒数据很容易被识别出来,就像这样,很容易看出这个中毒样例其他样例物种不同还带有一个奇怪的小块。

攻击者希望可以把中毒数据伪装成正常数据无法被视觉识别。
在这里插入图片描述

就像这样,中毒样本的外表和目标样本的外表一致,但是实际上它的概率分布和贴有触发器的样本一致。可以混入数据之中,具有比较好的隐匿性。

攻击概览

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZFhCI6sc-1643098184155)(C:\picture\image-20220125155059917.png)]

攻击者选择目标label,从目标label的数据中选择的样例为目标样例。

随机选择干净样本,将干净样本加上触发器后,优化为目标样本的视觉效果,则完成了中毒样数据的制作。

然后可以将中毒数据放入目标样本所属的Label,受害者此时无法通过视觉辨认出中毒数据,然后将数据喂入模型进行训练。训练结束后,攻击者可以使用触发器激活后门,将结果分类至目标label。

攻击方法

接下来介绍作者的方法,首先从目标类别中随机选择K个目标图像,用他们初始化中毒图像Z_k,可能是就是把他们作为初始图像,最多加个扰动。

随机选择K张图像然后在随机的位置贴上触发器,在特征空间上找最近的目标图像,形成一对,然后用PGD进行优化,f就是一个训练好的分类器,他是假定在迁移学习的环境下。

最后的概率分布和s_k靠近,外形和目标类别靠近。

PGD是投影梯度优化,会在点集中找一个相差最小的代替他。

实验结果

1. 攻击前后的变化

在这里插入图片描述

左边的是干净的分类器,右边是中毒分类器,在中毒攻击之后,中毒目标和带有触发器的

什么是中毒目标?

2.不同数据集下的二元分类实验

在这里插入图片描述

Binary classifier ; only fine-tune the last layer

3.调整触发器的尺寸

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kKuLL3wu-1643098184156)(C:\picture\image-20220125160700373.png)]

Adjust the parameters

4. 微调其他的层数

在这里插入图片描述

5. 多分类

在这里插入图片描述

6.防御

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-acr3rmsk-1643098184156)(C:\picture\image-20220125160807168.png)]

历风
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 770
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
ACT_AAAI20:AAAI 2020论文“ ACT”的代码
05-04
用于非监督性跨域人员重新识别的非对称协同教学(AAAI 2020AAAI 2020纸用于代码。要求的Python 3.7 带4个GPU的服务器Market1501,DukeMTMC-reID和其他数据集。 在列出的其他必需的包适应ACT 按照“ data / readme...
Label-Consistent Backdoor Attacks
austinyxx的博客
03-01 4032
By injecting a small number of maliciously constructed inputs into the training set, an adversary is able to plant a backdoor into the trained model.
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
m0_57572083的博客
10-25 2042
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
【学习】backdoor attacks、Adversarial Attack on Images、Adversarial Attack on Audio
Raphael9900的博客
01-01 4788
李宏毅深度学习
反知识蒸馏后门攻击:Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation
weixin_48654804的博客
01-19 5786
Ge, Yunjie, et al. “Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation.” Proceedings of the 29th ACM International Conference on Multimedia. 2021. Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive i..
TCA-AAAI2012-version2.0.zip_520AAAI_TCA_TCA matlab_文本分类
07-14
标题中的"TCA-AAAI2012-version2.0.zip_520AAAI_TCA_TCA matlab_文本分类"表明这是一个与文本分类相关的项目,其中TCA可能指的是"Transfer Component Analysis"(转移组件分析),这是一类机器学习方法,用于解决...
PMGI_AAAI2020:重新思考图像融合的纸张代码
05-04
PMGI_AAAI2020 重新思考图像融合的论文代码:基于梯度和强度的比例维护的快速统一图像融合网络。 这项工作使用相同的网络结构和相同形式的损失函数来实现红外和可见光图像融合,多次曝光图像融合,医学图像融合,多...
深度学习 小样本学习stanet_aaai19.pdf
04-23
今天给大家带来,深度学习 小样本学习stanet_aaai19.pdf,里面对于相关知识讲解的十分清楚明白,相关方向的同学不要错过,一起来学习吧!
Deep learning of Representions_AAAI_Yoshua-超清文字版本
11-11
《Deep Learning of Representations》是由Yoshua Bengio在AAAI会议上发表的一篇关于深度学习的重要文献,专注于探讨如何通过深度学习技术来学习和理解数据的表示。深度学习是人工智能领域的一个关键分支,它模拟...
《Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review》阅读笔记
Yale的博客
01-15 2378
Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review 最初的后门攻击主要集中在计算机视觉领域,但是也已经扩展到其他领域。例如文本、音频、基于ML的计算机辅助设计、基于ML的无线信号分类等。 区分 1.与Adversarial Example的区别 1)攻击的pipeline不同 2)对抗样本对每个输入进行精心设计不同的扰动,而后门攻击可以使用相同的触发器应用于将任何输入 3)后门触发器为攻击者提供了最大的灵
通过风格转化向NLP模型注入隐形后门攻击
m0_56222998的博客
03-13 821
通过风格转化向NLP模型注入隐形后门攻击
后门触发器攻击的再思考论文(Rethinking the trigger of backdoor attack)总结
遠い世界へ
06-04 3728
目录 1  论文工作2  之前的工作2.1  后门攻击2.2  后门防御3  静态触发器现有攻击的属性3.1  静态触发器后门攻击的步骤3.2  后门触发器的两个特征4  后门防御和增强攻击4.1  通过变换进行后门防御4.2  以变换为基础的增强攻击4.3  物理攻击5 &nbs
学习笔记 | Invisible Backdoor Attacks on Deep Neural Networks
freya0112的博客
03-24 1122
摘要 创建隐蔽和分散的触发器用于后门攻击。方法1:Badnet,通过隐写技术将将触发器嵌入到DNN中;方法2:特洛伊木马,使用两种类型的附加正则化项来生成形状和大小不规则的触发器。使用攻击成功率和功能来衡量攻击性能。 引入关于人类感知不可见性的定义:PASS&LPIPS。 本文提到的攻击方法在各种DNN模型以及四个数据集MNIST、CIFAR-10、CIFAR-100和GTSRB中相当有效。 该论文提出的隐形后门攻击可以阻止神经清洗和TABOR。 关键词 后门攻击,隐写术,深度神经网络。
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6649
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
Rethinking the trigger of backdoor attack
weixin_48654804的博客
09-06 487
Rethinking the trigger of backdoor attack https://arxiv.org/abs/2004.04692 本文是关于后门攻击的论文。本文指出目前的大多数后门攻击的触发集都是属于静态触发集(static trigger),也就是说触发集在训练过程和测试过程的appearance和located都是相同的,也就是指,触发模式都是相同的。 这说明一个问题,触发集的鲁棒性会比正常样本差很多。 可以这样理解,训练过程中样本的数量会很大程度上影响训练的效果。后门样本只有一个形
Backdoor Attack with Sample-Specific Triggers (2021) 笔记
Billy1900的博客
09-03 491
Backdoor attack injects some attacker-specified patterns in the poisoned image and replace the corresponding label with a pre-defined target label. Existing backdoor attacks are easily defensed because the backdoor triggers are sample-agnostic we ge..
后门触发器之频域角度——Rethinking the Backdoor AttacksTriggers A Frequency Perspective
weixin_48654804的博客
10-06 1459
Rethinking the Backdoor AttacksTriggers A Frequency Perspective 尚未发布,收录于arxiv—— 论文链接 本文指出,现有的后门攻击在频域领域上的研究不足。因此本文提出通过频域信息来辨别后门样本,并以此构建了频域不可见的后门样本。 一个直观的想法就是,后门样本与自然图像的概率分布不同。由于后门样本相比自然图像需要添加特定的trigger pattern,从而触发深度模型给出指定的输出结果。这种添加的特定的trigger pattern,也
后门防御阅读笔记,GangSweep: Sweep out Neural Backdoors by GAN
weixin_43999137的博客
10-18 1078
论文标题:GangSweep: Sweep out Neural Backdoors by GAN 论文单位:Old Dominion University,Norfolk, VA, USA 论文作者:Liuwan Zhu,Rui Ning,Cong Wang 收录会议:ACM MULTIMEDIA 2020 开源代码:https://github.com/nicholasbennet/neural-network-backdoor-removal GangSweep:通过GAN去“扫出“神经后门(防御)
mmskl configs/recognition/st_gcn_aaai18/$DATASET/test.yaml
最新发布
07-23
根据你提供的命令,看起来你想要访问 `configs/recognition/st_gcn_aaai18/$DATASET/test.yaml` 文件。然而,这个路径中的 `$DATASET` 是一个占位符,需要替换为具体的数据集名称。 请将命令中的 `$DATASET` 替换为你要使用的实际数据集的名称,并确保该文件存在于指定的路径中。例如,如果你要访问名为 `my_dataset` 的数据集的测试配置文件,命令可以修改为: ``` mmskl configs/recognition/st_gcn_aaai18/my_dataset/test.yaml ``` 请注意,如果 `configs/recognition/st_gcn_aaai18/$DATASET/test.yaml` 文件不存在或路径不正确,你将无法访问到它。确保提供正确的文件路径和数据集名称,以便正常访问文件。 如果问题仍然存在,请提供更多详细信息,我将尽力帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值