Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering阅读报告

最新推荐文章于 2024-06-25 00:19:59 发布
最新推荐文章于 2024-06-25 00:19:59 发布
阅读量399 收藏
点赞数
分类专栏: 心得体会 文章标签: 深度学习 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39133209/article/details/128605841
版权

1 摘要

虽然机器学习(ML)模型越来越被信任,可以在不同的领域做出决策,但使用这种模型的系统的安全性也越来越受到关注。特别是,ML模型通常使用来自潜在不可信来源的数据进行训练,为对手提供了通过将精心制作的样本插入训练集中来操纵它们的机会。最近的工作表明,这种类型的攻击被称为投毒攻击,允许对手在模型中插入后门或木马程序,在推断时使用简单的外部后门触发器,并且仅从模型本身的黑盒角度启用恶意行为。检测这种类型的攻击具有挑战性,因为只有当存在后门触发器时才会发生意外行为,而只有对手知道该触发器。模型用户,无论是训练数据的直接用户还是来自目录的预训练模型的用户,都不能保证其基于ml的系统的安全运行。在本文中,我们提出了一种用于神经网络的后门检测和清除的新方法。
本文的贡献:

  1. 我们提出了第一种检测恶意插入训练集的有毒数据的方法,以生成不需要验证和可信数据的后门。
  2. 我们通过在三个不同的文本和图像数据集上评估AC方法,证明了AC方法在检测不同应用程序中的有毒数据方面非常成功。
  3. 我们证明,AC方法是鲁棒的在复杂中毒场景下,其中类别是多模态的和多个后门插入。

2 本文方法

2.1 基本原理

我们的方法背后的直觉是,虽然后门和目标样本受到有毒网络的相同分类,但它们受到这种分类的原因是不同的。在来自目标类的标准样本的情况下,网络在输入中识别它已经学习到的与目标类对应的特征。在后门示例的情况下,它会识别与源类和后门触发器相关的特征,这将导致它将输入分类为目标类。这种机制上的差异在网络激活中应该是明显的,它代表了网络如何做出“决定”。
在这里插入图片描述
最后一个隐藏层的激活投影到前3个原理组件上。最后一个隐藏层的激活投影到前3个原理组件上。(a)激活标记为6的图像。(b)激活标有速度限制的图像。©(中毒)负面评论类的激活(d)(正常)正面评论类的激活。

2.2 算法

在这里插入图片描述
Step1:使用不可信的数据训练模型;
Step2:初始化 A A A, A [ i ] A[i] A[i]表示对应i标签的激活层的数据;
Step3:收集每一个样本对应的激活层数据;
Step4:采用PCA技术对每一类标签进行降维;
Step5:采用kemans方法对降维的数据聚类;
Step6:分析聚类结果;

2.3 聚类分析方法

1)Exclusionary Reclassification:
我们的第一个聚类分析方法涉及训练一个新模型,而不需要与相关聚类对应的数据。一旦训练好新模型,我们就用它来对不同的聚类进行分类。如果集群包含合法数据的激活,然后我们预计相应的数据将在很大程度上被分类为他的标签。但是,如果群集包含有毒数据,则模型将在很大程度上将数据分类为源类。因此,我们建议以下ExRe评分评估给定的集群是否对应于有毒数据。设 l l l是集群中分类为其标签的数据点的数量。设p为分类为C的数据点数,其中C是除了标签之外的大多数数据点被分类的类别。那么如果 l / p > T l/p>T l/p>T,其中T是防御者设置的阈值,我们认为集群是合法的,如果 l / p > T l/p>T l/p>T,我们认为它有毒,其中p是毒物的源类。我们建议使用默认值阈值参数的值为1,但可以调整根据防御者的需要。
2)Relative Size Comparison:
分析这两个聚类的一种更简单快捷的方法是比较它们的相对大小。在我们的实验中(参见后续章节),我们发现通过2-均值聚类,有毒数据的激活几乎总是(99%的时间)被放置在与合法数据不同的集群中。因此,当带有给定标签的p%数据被毒害时,我们期望一个集群包含大约p%的数据,而另一个集群包含大约(100 - p)%的数据。相比之下,当数据没有中毒时,我们发现激活倾向于分离成两个大小差不多相等的集群。因此,如果我们期望对给定标签不超过p%的数据可以被对手毒害,那么如果集群包含≤p%的数据,我们就可以认为集群是有毒的。
3)Silhouette Score:
图2c和图2d表明,两个簇更好地描述了数据中毒时的激活,但一个簇更好地描述了数据未中毒时的激活。因此,我们可以使用度量来评估集群数量与激活匹配的程度,以确定相应的数据是否已被毒害。我们发现在这方面工作得很好的是轮廓评分,轮廓分数低表明聚类不能很好地拟合数据,可以认为该类是无害的。轮廓分数高表明两个集群确实很好地拟合了数据,并且,假设对手不能毒害超过一半的数据,我们可以认为较小的集群可以被认为是有毒的。理想情况下,可以使用干净可信的数据集来确定干净数据的预期轮廓分数。否则,我们在MNIST、LISA和 Rotten Tomatoes数据集上的实验表明0.10和0.15之间的阈值是合理的。

2.4 后门修复

一旦使用激活聚类识别出有毒数据,在使用模型之前仍然需要修复模型。当然,一种选择是简单地删除有害数据并从头开始重新训练模型。然而,一个更快的选择是用它的源类重新标记有毒数据,并继续在这些样本上训练模型,直到它再次收敛。

mentalps
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于激活聚类的后门检测:Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering
weixin_48654804的博客
09-20 2047
Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering 网址:https://arxiv.org/abs/1811.03728 一些老生常谈,Abstract、Introduction之类的都已经被我省略,当然我都看了。 本文指出,后门检测是具有挑战性的。因为后门触发器是未知的,只有Adversaries知道。因此本文提出了Activation Clustering(AC),也就是激活聚类,对插入DNN的后门
《Bypassing Backdoor Detection Algorithms in Deep Learning》阅读总结
Yale的博客
01-29 1224
Abstract: 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。大多数针对后门攻击的检测算法都是针对input samples和model parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。本文中,我们设计了一种对抗性后门嵌入算法,可以bypass已有的检测算法。我们设计了一种自适应的对抗训练算法来优化模型原始的损失函数,并最大化两种样本latent representation的不可区分度。 Introduction 在本文中,我们关注针对机器学习算法的主动攻击。
<Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks阅读笔记
Yale的博客
02-05 2091
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruning和fine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruning和fine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
学习笔记 | Invisible Backdoor Attacks on Deep Neural Networks
freya0112的博客
03-24 1098
摘要 创建隐蔽和分散的触发器用于后门攻击。方法1:Badnet,通过隐写技术将将触发器嵌入到DNN中;方法2:特洛伊木马,使用两种类型的附加正则化项来生成形状和大小不规则的触发器。使用攻击成功率和功能来衡量攻击性能。 引入关于人类感知不可见性的定义:PASS&LPIPS。 本文提到的攻击方法在各种DNN模型以及四个数据集MNIST、CIFAR-10、CIFAR-100和GTSRB中相当有效。 该论文提出的隐形后门攻击可以阻止神经清洗和TABOR。 关键词 后门攻击,隐写术,深度神经网络。
NIPS 2018 接收论文list 完整清单
热门推荐
TomRen
09-12 1万+
NIPS2018 接收论文包括poster、tutorial、workshop等,目前官网公布了论文清单: https://nips.cc/Conferences/2018/Schedule 同时还给出了workshop介绍。
Corner points localization in electronic topographic maps with deep neural networks
02-07
This paper proposes an algorithm for automatically locating the corner points in the electronic topographic maps by detecting the specific rectangle objects in the map corners. It assigns the probab
Detecting Anomalous Emotion through Big Data from Social Networks Based on a Deep Learning Method
02-07
Detecting Anomalous Emotion through Big Data from Social Networks Based on a Deep Learning Method
Detecting anomalous emotion through big data from social networks based on a deep learning method
02-06
《基于深度学习方法的社交网络异常情绪检测》 在当今信息爆炸的时代,社交网络成为人们表达情感、分享观点的重要平台,大数据技术的应用使得从这些平台上获取并分析用户情绪成为可能。这篇研究论文聚焦于通过深度...
Detecting Collusive Cheating in Online Shopping Systems through Characteristics of Social Networks
02-09
Detecting the collaborative cheating in an online shopping system is an important but challenging issue. In this paper, we propose a novel approach to detect the collusive manipulation on ratings in ...
Detecting community structure in bipartite networks based on matrix factorisation
02-21
Detecting community structure in bipartite networks based on matrix factorisation
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6610
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2456
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除
遠い世界へ
07-03 792
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除 之前的工作 现有的防御大多利用后门模型在输入后门数据和正常数据时DNN内部神经元活性分布的不同。 [刘, 2018]通过对干净样本输入时神经活性低的神经元进行微调,来除去对后门图像有反应的神经元。 [陈, 2018] 通过对输入给定教师标签的训练图像时中间层的活性进行聚类确定了训练数据集中混入的中毒数据。 [吉田,2020] 提出了一个不是确定后门图像,而是去除后门语义的方法。在这个方法中利用了DNN模型蒸馏[Hinton, 2015]。即通过
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习安
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 8651
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文中,我们描述了后门攻击的一个更强大的变种,即潜在后门,其中隐藏的规则可以嵌入到单个“教师Teacher”模型中,并在迁移学习过程中被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境中都可以非常有效,并通过对交通标志识别,实验室志愿者.
基于深度学习的点云包围盒检测
最新发布
weixin_42605076的博客
06-25 903
基于深度学习的点云包围盒检测方法通过PointNet、VoxelNet、SECOND、PointRCNN、PV-RCNN等先进网络架构,实现了对三维物体的高效检测和定位。随着深度学习技术的发展,这些方法在自动驾驶、机器人导航、工业检测等多个领域展现了强大的应用潜力,推动了三维视觉技术的发展和应用。掌握和应用这些方法,有助于开发更加智能和高效的三维视觉系统。
【深度学习驱动流体力学】湍流仿真到深度学习湍流预测
源代码杀手的博客
06-23 61
在数值模拟中,如使用OpenFOAM等CFD软件,基于Navier-Stokes方程组和适当的湍流模型,可以模拟出湍流的速度场、压力分布、湍流能量等物理量的时空演变。相比传统的基于物理模型的湍流预测方法,深度学习在某些情况下可能具有更高的灵活性和适应性,特别是在处理复杂湍流结构或数据不完整的情况下。例如,湍流仿真可以提供高精度的湍流结构和详细的流场信息,作为深度学习模型的训练数据。通过修改这些文件,用户可以定制化地运行OpenFOAM中的湍流模拟,从而研究和分析不同流动情况下的湍流行为和效应。
动手学深度学习(Pytorch版)代码实践 -卷积神经网络-21多输入多输出通道
李思成的博客
06-22 297
【代码】动手学深度学习(Pytorch版)代码实践 -卷积神经网络-21多输入多输出通道。
动手学深度学习(Pytorch版)代码实践 -深度学习基础-04图片分类数据集
李思成的博客
06-18 486
【代码】动手学深度学习(Pytorch版)代码实践 -深度学习基础-04图片分类数据集。
applying convolutional neural networks for detecting wheat stripe rust trans
09-16
卷积神经网络(Convolutional Neural Networks,CNN)是一种深度学习算法,被广泛应用于计算机视觉任务。针对麦田条锈病的检测,可以使用CNN通过对图像进行卷积和池化等操作,自动提取图像中的特征,从而实现条锈病...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值