对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解

最新推荐文章于 2023-01-03 16:07:13 发布
最新推荐文章于 2023-01-03 16:07:13 发布
阅读量2.4k 收藏 8
点赞数 2
分类专栏: 检测恶意软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43971116/article/details/98035345
版权

本文主要:

因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。
作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning and fine-tuning)方法去消除这种后门。

后门攻击

  • Inference-time attacks fool a trained model into misclassifying an input via imperceptible, adversarially chosen perturbations.
  • training-time attacks (known as backdoor or neural trojan attacks)
  • performing well on its intended task (including good accuracy on a held-out validation set)

既是

  • 攻击者在训练时通过给训练数据投毒,来给我们的模型植入后门,而训练好的模型会在个别情况下影响我们的判断,而且模型在测试集上的表现也很好。

攻击者的目的:

1,制作后门
2,不影响模型的得分

因为攻击者负责训练过程,所以攻击者有着训练过程的所有权限。

后门攻击举例(本文分别用了人脸识别,交通标识识别,语音识别来举例后门攻击)
在这里插入图片描述这里便是使模型对带着眼镜的人进行错误的判断。(带着眼镜就是使后门的神经元激活的条件)
在这里插入图片描述
对于识别到的数字0的误判。
在这里插入图片描述对于识别到的STOP图像的误判。

这些后门的设计都是通过在训练模型时,使用在训练集上投毒的方法来实现的,就是在庞大的训练集上,抽出百分比的部分,进行投毒操作,然后与正常的训练集一起放入模型参加模型的训练。

对于不同的攻击手段所用的不同的防御手段

1,对于简单的在训练集上投毒手段,包括添加任意数量的中毒训练输入,修改任何干净的训练输入,调整训练过程(例如,神经元的个数, 训练批次大小、学习率等),甚至手工设置神经元的权重。

对于这种投毒方法,我们可以用Pruning Defense方法防御。

Pruning Defense 因为后门数据所激活的神经元只受后门激活,而在干净数据下他们是休眠的,所以我们记录每个神经元的平均激活。然后,防守者以增加平均激活顺序对DNN的神经元进行迭代修剪,并记录修剪后的准确性。 网络在每次迭代中。当验证数据集的准确性下降到预定阈值以下时,防御将终止。

简单来说就是通过输入干净的数据来测试,去掉激活后门的神经元,因为后门数据所激活的神经元只受后门激活,而在干净数据下他们是休眠的。

(以前的Pruning操作只是为了减少模型的消耗,而在这里我们第一次将这种方法用在了安全领域。)

2.Pruning-Aware Attack

Pruning-Aware Attack: 这种攻击方法分为以下步骤:

1,先用干净的训练集来训练模型
2,对训练好的模型进行减枝
3,用带有后门的训练集来训练减枝后的相同模型。
4,将后门训练模型与干净训练模型结合,并且将第二部中去掉的神经元补充回来(这些神经元作为诱导神经元)。
5,如果训练好的模型的判断精度很低或者没有后门功能的话则通过增加神经元的方法来加强他的功能。
在这里插入图片描述

因为这种攻击方法有着诱导神经元以及他们的后门神经元与正常神经元是重叠的,所以如果我们用Pruning Defense方法的话,是不能有效的去除后门的。

如果我们单纯的用Fine-tuning的方法也没有很大成效,因为后门神经元只受特定输入数据的激活,在正常标准的输入数据下,我们是无法激活这些神经元的,所以我们没法用这种方法来调整他们的权重。

(提一下Fine-tuning
这种方法是一种训练深度神经模型的技巧,既是我们得到一个与我们目标模型相似的模型之后(这个模型的隐藏层,神经元个数等等参数与我们的目标一致),我们可以用我们的标准数据输入,再次训练模型,进行模型参数的微调整,在这个微调整中,我们的学习率要设置的比较低,由此来获得我们所需要的模型。)

据此,作者使用Pruning和Fine-tuning结合,研究出了Fine-Pruning Defense方法:

Fine-Pruning Defense(作者这篇文章的重点)

1.对攻击者放回的模型进行修剪操作。(去除诱导神经元)

2.修剪完毕之后用干净的输入来微调神经元上的权重。(因为后门神经元与我们正常的神经元是重叠的,所以我们可以使用干净的输入来微调我们的神经元,使他们的权重发生改变,以此来控制我们后门控制的权重)

下面是效果展示表:
在这里插入图片描述

-Ausen
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 762
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks>阅读笔记
Yale的博客
02-05 2113
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruningfine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruningfine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
两周阅读总结
遠い世界へ
09-10 208
关于「模型微调(Fine-tune)」 什么是模型微调(fine-tune)? 为什么需要微调? 什么情况下使用微调? 什么是「模型微调」? 就是在预训练的模型上,重新训练预训练模型的顶层,得到适用于新数据集级的模型权重。相对于从头开始训练,微调可以省去大量计算资源和计算时间。 为什么需要「微调」? 卷积神经网络的核心是: 浅层卷积层提取基础特征,比如边缘,轮廓灯基础特征。 深层卷积层提取抽象特征,比如整个脸型。 全连接层根据特征组合进行评分分类。 在已经训练好的预训练模型中,已经具备了提取浅层基础
59. 微调(fine-tuning)代码实现
weixin_47505105的博客
01-03 1931
笔记
论文阅读笔记——Backdoor Defense with Machine Unlearning
Wendy_094的博客
11-03 708
提出了一种新的方法BAERASER,可以消除注入 victim model 的后门。具体来说,橡皮主要通过两个关键步骤实现后门防御。首先,进行 trigger pattern 恢复,提取被受害者模型感染的触发模式。这里的触发模式恢复问题相当于从受害者模型中提取未知噪声分布的问题,可以通过基于熵最大化的生成模型轻松解决。随后,诱饵利用这些恢复的触发模式来逆转后门注入过程,并通过一种新设计的基于梯度上升的 machine unlearning 方法,诱导受害者模型来消除被污染的记忆。
Deep-Compression-Compressing-Deep-Neural-Networks-with-Pruning-Trained-Quantization-and-Huffman:这是https的pytorch实现
05-10
总的来说,"Deep Compression-Compressing-Deep-Neural-Networks-with-Pruning-Trained-Quantization-and-Huffman"提供了一个实用的工具,帮助研究者和开发者应对深度学习模型的大小问题,为在资源受限的环境中运行...
Torch-Pruning:pytorch修剪工具包,用于结构化神经网络修剪和自动层依赖维护
04-30
当通过DependencyGraph.get_pruning_plan将修剪功能(例如torch_pruning.prune_conv)应用于特定层时,此程序包将遍历整个图以修复不一致的模块(例如BN)。 如果模型中有torch.split或torch.cat ,则修剪索引将...
CLIP-Q: Deep Network Compression Learning by In-Parallel Pruning
06-30
10. `333`:可能是特定实验或配置的标识符,具体含义需要查看相关文档或源代码来理解。 CLIP-Q的贡献在于提供了一种并行的、高效的深度网络压缩方案,为深度学习模型在边缘设备和嵌入式系统的应用铺平了道路。通过...
Structured-Bayesian-Pruning-pytorch:pytorch实现结构化贝叶斯修剪
05-01
结构化贝叶斯修剪火炬pytorch实现的 。 本文的作者提供了。 该实现基于pytorch 0.4。 关于MNIST的一些初步结果: 网络方法... 在这里,我给出一个简单的示例,说明如何使用结构化贝叶斯修剪自定义模型。 from SBP_util
matlab精度检验代码-Neural-Network-Pruning:修剪单个隐藏层神经网络的训练和预测代码
05-22
matlab精度检验代码神经网络修剪 描述 神经网络修剪是压缩单个隐藏层神经网络以减小模型大小的方法。 该机器学习算法专门针对物联网设备和其他边缘设备等资源受限的环境而开发。...因此,为了找出最佳配置,NeuralNet
神经网络压缩与加速 pruning方向初探
Heartunder_blade的博客
02-26 586
Yolop与模型压缩(一)剪枝,结构化与非结构化 yolop的压缩是从算法层到框架层再到硬件层的综合,本质上是卷积在规定好的数值计算规则上的优化,市场与工程运用中的常用库与对应平台的再开发 1. 数值计算与硬件 1.1 一些基础知识 有关硬件: 2022年主流机都是arm7架构(对应arm cortex系处理器)主流中高端机(骁龙,麒麟,联发科,Apple)的处理器皆为多组件一体化的(cpu + gpu + isp + dsp等等),一部分有专门为高维张量tensor设计的硬件优化(即AI应用)
最新论文阅读(31)
wydbyxr的博客
06-10 1173
L1-Norm Batch Normalization for Efficient Training of Deep Neural Networks - 2018年2月 - L1-BN - 中国人   BN中的平方和根运算对低比特量化不友好。   我们提出在训练期中只有线性运算的L1范数BN(L1BN)。L1-BN被证明与原始的BN乘以比例因子(π/2的根号)近似相等。   对各种...
【联邦学习的隐私攻击及防御】 持续更新~
学渣的博客
02-20 2万+
本文以论文小结的形式汇报近几年联邦学习安全方面的研究。 这里写目录标题攻击Attribute Reconstruction Attack 属性重构攻击三级目录 攻击 Attribute Reconstruction Attack 属性重构攻击 不同于先前的 模型反演攻击(Model Inversion Attack,MIA),ARA是给定无关属性XothersX_{others}Xothers​和标签YYY,对某单一目标属性XsX_{s}Xs​进行推断,而MIA是在某一类大致相似的提前下,确定某一类的所有输
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6632
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
模型压缩之网络剪枝(Network Pruning)篇
行云
09-09 5150
1. 背景 今天,深度学习已成为机器学习中最主流的分支之一。它的广泛应用不计其数,无需多言。但众所周知深度神经网络(DNN)有个很大的缺点就是计算量太大。这很大程度上阻碍了基于深度学习方法的产品化,尤其是在一些边缘设备上。因为边缘设备大多不是为计算密集任务设计的,如果简单部署上去则功耗、时延等都会成为问题。即使是在服务端,更多的计算也会直接导致成本的增加。人们正在从各个角度试图克服这个问题,如这几年如火如荼的各处神经网络芯片,其思路是对于给定的计算任务用专用硬件加速。而另一个思路是考虑模型中的计算是不是都
Soft Filter Pruning(SFP)算法笔记
AI之路
07-18 9130
论文:Soft Filter Pruning for Accelerating Deep Convolutional Neural Networks 论文链接:https://www.ijcai.org/proceedings/2018/0309.pdf 代码链接:https://github.com/he-y/soft-filter-pruning 这篇是IJCAI 2018的关于模型加速...
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习安
闲话模型压缩之网络剪枝(Network Pruning)篇
热门推荐
世事难料,保持低调
09-15 4万+
背景 今天,深度学习已成为机器学习中最主流的分支之一。它的广泛应用不计其数,无需多言。但众所周知深度神经网络(DNN)有个很大的缺点就是计算量太大。这很大程度上阻碍了基于深度学习方法的产品化,尤其是在一些边缘设备上。因为边缘设备大多不是为计算密集任务设计的,如果简单部署上去则功耗、时延等都会成为问题。即使是在服务端,更多的计算也会直接导致成本的增加。因此,人们正在从各个角度试图克服这个问题,如这几...
论文笔记:Membership Inference Attacks Against Machine Learning Models
xff1994的博客
05-08 1万+
Membership Inference Attacks Against Machine Learning Models 简介:这篇文章关注机器学习模型的隐私泄露问题,提出了一种成员推理攻击:给出一条样本,可以推断该样本是否在模型的训练数据集中——即便对模型的参数、结构知之甚少,该攻击仍然有效。其核心在于其提出的shadow learning技术。 问题设定 考虑多分类问题,模型的输出是一个预测向...
BIT-PRUNING A SPARSE MULTIPLICATION-LESS DOT-PRODUCT的全文翻译
最新发布
08-23
本文档《BIT-PRUNING: A SPARSE MULTIPLICATION-LESS DOT-PRODUCT》是在ICLR 2023会议上发表的一篇论文,主要关注在资源受限的边缘设备上实现高效神经网络的方法,特别是针对深度神经网络(DNNs)中的能量效率问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值