后门防御经典背景文献(综述)

最新推荐文章于 2024-01-08 20:34:04 发布
最新推荐文章于 2024-01-08 20:34:04 发布
阅读量1.6k 收藏 11
点赞数
分类专栏: 论文阅读 文章标签: 神经网络 深度学习 pytorch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43999137/article/details/120627095
版权

总结:

  • 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。
  • 因此,大多数针对后门攻击的检测算法都是针对input samplesmodel parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。
  • 防御者对于攻击者生成的带触发器的输入往往是得不到的,所以一般场景下,都是围绕着model parameters去设计防御。

Fine-Pruning

Liu K, Dolan-Gavitt B, Garg S. Fine-pruning: Defending against backdooring attacks on deep neural networks[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2018: 273-294.

  • 防御方法:Pruning Defense 因为后门数据所激活的神经元只受后门激活,而在干净数据下他们是休眠的。所以我们记录每个神经元的平均激活,然后,防守者以增加平均激活的顺序(从小到大)对DNN的神经元进行迭代修剪,并记录修剪后的准确性。 网络在每次迭代中。当验证数据集的准确性下降到预定阈值以下时,防御将终止。

  • 效果:剪枝防御对BadNets、Trojaning Attack的防御都成功了

  • 新的攻击方法:作者提出了一种更强大的攻击方法: “pruning-aware” attack

    1. 先用干净的训练集来训练模型
    2. 对训练好的模型进行减枝
    3. 用带有后门的训练集来训练减枝后的相同模型
    4. 将后门训练模型与干净训练模型结合,并且将第二部中去掉的神经元补充回来(这些神经元作为诱导神经元)
    5. 如果训练好的模型的判断精度很低或者没有后门功能的话则通过增加神经元的方法来加强他的功能

  • 新的防御方法:单纯的剪枝起到的效果不好,作者把Fine-tuning和剪枝结合在一起,提出了新的防御方法Fine-Pruning Defense

    1.对攻击者的模型进行修剪操作。(去除诱导神经元)

    2.修剪完毕之后用干净的输入来微调神经元上的权重。Fine-tuning(因为后门神经元与我们正常的神经元是重叠的,所以我们可以使用干净的输入来微调我们的神经元,使他们的权重发生改变,以此来控制我们后门控制的权重)

  • 缺点:它无法验证模型是否有后门

Neural Cleanse

Wang B, Yao Y, Shan S, et al. Neural cleanse: Identifying and mitigating backdoor attacks in neural networks[C]//2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019: 707-723.

  • 第一项能够检测中毒模型的工作
  • 两个功能:检测后门、缓解后门
  • 该文章比较经典,在7篇论文的精读笔记里,在这里不再阐述

ABS

Liu Y, Lee W C, Tao G, et al. ABS: Scanning neural networks for back-doors by artificial brain stimulation[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019: 1265-1282.

https://blog.csdn.net/qq_34206952/article/details/116102639

  • 一种对模型内部的神经元进行分析的检测手段

  • 对Neural Cleanse的四个缺点进行了论证:

    1. Neural Cleanse可能不能够对后门的触发器进行逆向
    2. Neural Cleanse需要大量的输入样本来实现高的性能
    3. Neural Cleanse对于较大的触发器可能会失效
    4. Neural Cleanse对于在特征空间上的攻击可能表现不佳(与像素空间不同)

  • 理论支撑:跟Neural Cleanse一样的观测,成功的后门攻击会产生“被危害的”神经元

  • 防御方法:使用大量样本激活网络中的某个神经元,如果输出使得90%以上的图片出错,把其标记为候选的有害神经元。然后,对每一个有害神经元进行逆向工程生成逆向工程触发器(这里定义了新的损失函数,使用梯度下降去优化,优化目标为,最大化该候选神经元激活值, 但最小化和其他神经元的激活值差异,最小化触发器的面积,同时最大化和原图的相似程度)。最后,根据逆向工程的触发器的攻击成功率,判断是否有后门。

  • 缺点:该方法主要基于“触发器会引发异常的激活值”这一假设,也是被后门的Bypassing Detection Backdoor的提出的更隐蔽的攻击方法打破了防御。

Mode Connectivity

Zhao P, Chen P Y, Das P, et al. Bridging mode connectivity in loss landscapes and adversarial robustness[J]. arXiv preprint arXiv:2005.00060, 2020.

approach:间接地将模式连接应用于检查后门行为,有效地减轻后门,同时在良性数据上保持可接受的模型性能

wujiekd
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 8698
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文中,我们描述了后门攻击的一个更强大的变种,即潜在后门,其中隐藏的规则可以嵌入到单个“教师Teacher”模型中,并在迁移学习过程中被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境中都可以非常有效,并通过对交通标志识别,实验室志愿者.
文献综述|NLP领域后门攻击、检测与防御
08-14
文献综述|NLP领域后门攻击、检测与防御 NLP领域后门攻击是指在神经网络模型中植入后门,使得模型对正常输入做出正确判断,但对携有特定标记的输入做出异常的输出。这些后门攻击主要分为基于数据投毒和非数据投毒...
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
【论文阅读】深度学习中的后门攻击综述
最新发布
计算机科研杂货铺
01-08 2265
后门攻击是一种隐秘而具有挑战性的网络安全威胁,它指的是攻击者利用漏洞或特殊访问权限,在系统中植入隐藏的访问通道。这种方法让攻击者能够在未被发现的情况下进入系统,绕过常规的安全控制,潜伏在其中,进行潜在破坏或数据窃取。在这篇博客文章中,我们将深入探讨后门攻击的本质、影响以及防范方法,帮助您了解并保护自己免受这种隐秘威胁的影响。
检测并减轻神经网络后门攻击综述
m0_56222998的博客
03-13 1134
神经网络后门攻击综述
后门攻击经典背景文献综述
weixin_43999137的博客
10-06 3041
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
计算机网络安全文献综述.doc
06-07
计算机网络安全文献综述 计算机网络安全综述 学生姓名:李嘉伟 学号:11209080279 院系:信息工程学院 指导教师姓名:夏峰 二零一三年十月 护而设置的软件"后门"也是不容忽视的巨大威胁,一旦"后门"洞开,别人就能...
后门检测及防御
12-24
后门的一些基本知识,以及后门的检查与防御
面向Web隐藏后门技术的防御
01-19
Rootkit是一种持久且隐匿的攻击技术,通过修改操作系统软件或内核,更改指令执行路径,隐匿攻击行为和后门程序痕迹。首先介绍了Rootkit的基本定义及其演变过程,其次讨论了目前Rootkit工作原理、主流技术以及检测...
后门学习综述》论文发布
11-21
后门学习(backdoor learning)是一个重要且正在蓬勃发展的领域。与对抗学习(adversarial learning)类似,后门学习也研究深度学习模型的安全性问题,其研究主要包括两大领域:后门攻击(backdoor attacks)及后门防御(backdoor defenses)。
论文阅读笔记——Backdoor Defense with Machine Unlearning
Wendy_094的博客
11-03 719
提出了一种新的方法BAERASER,可以消除注入 victim model 的后门。具体来说,橡皮主要通过两个关键步骤实现后门防御。首先,进行 trigger pattern 恢复,提取被受害者模型感染的触发模式。这里的触发模式恢复问题相当于从受害者模型中提取未知噪声分布的问题,可以通过基于熵最大化的生成模型轻松解决。随后,诱饵利用这些恢复的触发模式来逆转后门注入过程,并通过一种新设计的基于梯度上升的 machine unlearning 方法,诱导受害者模型来消除被污染的记忆。
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 1989
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
后门防御阅读笔记,Black-box Detection of Backdoor Attacks with Limited Information and Data
weixin_43999137的博客
10-18 2066
论文标题:Black-box Detection of Backdoor Attacks with Limited Information and Data 论文单位: THBI Lab, Tsinghua University, Beijing 论文作者:Yinpeng Dong, Xiao Yang, Jun Zhu 收录会议:ICCV 2021 开源代码:未开源 有限信息和数据的条件下对后门攻击的黑盒检测(防御) 简单总结 第一个在计算逆向触发器时,使用无梯度的优化方法。 先前的防御手段,计算逆向
后门防御-Neural Cleanse分析及复现
油墨香^-^的博客
08-12 1939
训练模型训练10个epoch,可以看到良性样本的准确率和后门攻击的准确率都在不错的水平。
后门防御阅读笔记,GangSweep: Sweep out Neural Backdoors by GAN
weixin_43999137的博客
10-18 1068
论文标题:GangSweep: Sweep out Neural Backdoors by GAN 论文单位:Old Dominion University,Norfolk, VA, USA 论文作者:Liuwan Zhu,Rui Ning,Cong Wang 收录会议:ACM MULTIMEDIA 2020 开源代码:https://github.com/nicholasbennet/neural-network-backdoor-removal GangSweep:通过GAN去“扫出“神经后门防御
针对后门攻击的防御手段之Neural Cleanse
XP and Altoria
03-31 1644
介绍 后门攻击是一类针对深度学习的攻击,其主要组成部分有两个: 触发器 带后门的模型 当模型接收到带有触发器的输入,便会导致对应的触发结果。 并且,一但没有触发器,模型的表现和正常的模型相似。 关于后门攻击更多的介绍,可以参考我的这篇文章。 今天主要讲的是来自于2019年SP的一篇文章“Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks” 作者基于一个重要的假设:“带有后门的模型所对应的触发器,要比
网站后门的防范方法以及安全配置
xzb0606xzb的博客
09-14 1671
后门防范是一个网站不能忽视的关键点,因为,对于为之的攻击,我们经常会感到束手无策。 1.后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。 2.安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性
基于因果启发的后门攻击防御
Ksylin的博客
10-26 126
笔记
设计AD DACL后门:主动防御策略
同时,作者并未忽视防御的一面,讨论了如何检测和防止这类DACL后门,包括实施更强的身份验证、定期审计和策略优化。 值得注意的是,作者明确表示,这篇文章并非介绍任何已知的漏洞或CVE,而是着重于有意识地探讨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wujiekd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值