后门防御经典背景文献(综述)

最新推荐文章于 2023-03-13 15:19:09 发布
最新推荐文章于 2023-03-13 15:19:09 发布
阅读量1.6k 收藏 11
点赞数
分类专栏: 论文阅读 文章标签: 神经网络 深度学习 pytorch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43999137/article/details/120627095
版权

总结:

  • 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。
  • 因此,大多数针对后门攻击的检测算法都是针对input samplesmodel parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。
  • 防御者对于攻击者生成的带触发器的输入往往是得不到的,所以一般场景下,都是围绕着model parameters去设计防御。

Fine-Pruning

Liu K, Dolan-Gavitt B, Garg S. Fine-pruning: Defending against backdooring attacks on deep neural networks[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2018: 273-294.

  • 防御方法:Pruning Defense 因为后门数据所激活的神经元只受后门激活,而在干净数据下他们是休眠的。所以我们记录每个神经元的平均激活,然后,防守者以增加平均激活的顺序(从小到大)对DNN的神经元进行迭代修剪,并记录修剪后的准确性。 网络在每次迭代中。当验证数据集的准确性下降到预定阈值以下时,防御将终止。

  • 效果:剪枝防御对BadNets、Trojaning Attack的防御都成功了

  • 新的攻击方法:作者提出了一种更强大的攻击方法: “pruning-aware” attack

    1. 先用干净的训练集来训练模型
    2. 对训练好的模型进行减枝
    3. 用带有后门的训练集来训练减枝后的相同模型
    4. 将后门训练模型与干净训练模型结合,并且将第二部中去掉的神经元补充回来(这些神经元作为诱导神经元)
    5. 如果训练好的模型的判断精度很低或者没有后门功能的话则通过增加神经元的方法来加强他的功能

  • 新的防御方法:单纯的剪枝起到的效果不好,作者把Fine-tuning和剪枝结合在一起,提出了新的防御方法Fine-Pruning Defense

    1.对攻击者的模型进行修剪操作。(去除诱导神经元)

    2.修剪完毕之后用干净的输入来微调神经元上的权重。Fine-tuning(因为后门神经元与我们正常的神经元是重叠的,所以我们可以使用干净的输入来微调我们的神经元,使他们的权重发生改变,以此来控制我们后门控制的权重)

  • 缺点:它无法验证模型是否有后门

Neural Cleanse

Wang B, Yao Y, Shan S, et al. Neural cleanse: Identifying and mitigating backdoor attacks in neural networks[C]//2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019: 707-723.

  • 第一项能够检测中毒模型的工作
  • 两个功能:检测后门、缓解后门
  • 该文章比较经典,在7篇论文的精读笔记里,在这里不再阐述

ABS

Liu Y, Lee W C, Tao G, et al. ABS: Scanning neural networks for back-doors by artificial brain stimulation[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019: 1265-1282.

https://blog.csdn.net/qq_34206952/article/details/116102639

  • 一种对模型内部的神经元进行分析的检测手段

  • 对Neural Cleanse的四个缺点进行了论证:

    1. Neural Cleanse可能不能够对后门的触发器进行逆向
    2. Neural Cleanse需要大量的输入样本来实现高的性能
    3. Neural Cleanse对于较大的触发器可能会失效
    4. Neural Cleanse对于在特征空间上的攻击可能表现不佳(与像素空间不同)

  • 理论支撑:跟Neural Cleanse一样的观测,成功的后门攻击会产生“被危害的”神经元

  • 防御方法:使用大量样本激活网络中的某个神经元,如果输出使得90%以上的图片出错,把其标记为候选的有害神经元。然后,对每一个有害神经元进行逆向工程生成逆向工程触发器(这里定义了新的损失函数,使用梯度下降去优化,优化目标为,最大化该候选神经元激活值, 但最小化和其他神经元的激活值差异,最小化触发器的面积,同时最大化和原图的相似程度)。最后,根据逆向工程的触发器的攻击成功率,判断是否有后门。

  • 缺点:该方法主要基于“触发器会引发异常的激活值”这一假设,也是被后门的Bypassing Detection Backdoor的提出的更隐蔽的攻击方法打破了防御。

Mode Connectivity

Zhao P, Chen P Y, Das P, et al. Bridging mode connectivity in loss landscapes and adversarial robustness[J]. arXiv preprint arXiv:2005.00060, 2020.

approach:间接地将模式连接应用于检查后门行为,有效地减轻后门,同时在良性数据上保持可接受的模型性能

wujiekd
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 8689
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文中,我们描述了后门攻击的一个更强大的变种,即潜在后门,其中隐藏的规则可以嵌入到单个“教师Teacher”模型中,并在迁移学习过程中被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境中都可以非常有效,并通过对交通标志识别,实验室志愿者.
文献综述|NLP领域后门攻击、检测与防御
08-14
文献综述|NLP领域后门攻击、检测与防御 NLP领域后门攻击是指在神经网络模型中植入后门,使得模型对正常输入做出正确判断,但对携有特定标记的输入做出异常的输出。这些后门攻击主要分为基于数据投毒和非数据投毒...
通过人工大脑刺激来检测神经网络中的后门
XP and Altoria
04-24 1319
文章目录介绍新的方法REASR分数实验评估结论 介绍 这一次主要给大家介绍一篇CCS19的工作,“ABS: Scanning Neural Networks for Back-doors by Artificial Brain Stimulation”。 在深度学习之中,存在着一种后门攻击(backdoor attack),它包括两个部分: 被植入后门的深度网络(trojaned model, model with backdoors) 触发后门的触发器 (trigger) 一旦我们在输入上添加对应的触
联邦学习中的后门攻击的防御手段
juli_eyre的博客
05-19 2038
后门攻击的防御手段横向对比 学习
检测并减轻神经网络后门攻击综述
m0_56222998的博客
03-13 1130
神经网络后门攻击综述
论文笔记| 后门攻击|Composite Backdoor Attack for Deep Neural Network byMixing Existing Benign Features
weixin_42097814的博客
07-17 2317
Abstract 背景 Pretrained DNNs may contain backdoors that are injected through poisoned training.These trojaned models perform well when regular inputs are provided, but misclassify to a target output label when the input is stamped with a unique pattern ca
计算机网络安全文献综述.doc
06-07
计算机网络安全文献综述 计算机网络安全综述 学生姓名:李嘉伟 学号:11209080279 院系:信息工程学院 指导教师姓名:夏峰 二零一三年十月 护而设置的软件"后门"也是不容忽视的巨大威胁,一旦"后门"洞开,别人就能...
后门检测及防御
12-24
后门的一些基本知识,以及后门的检查与防御
面向Web隐藏后门技术的防御
01-19
Rootkit是一种持久且隐匿的攻击技术,通过修改操作系统软件或内核,更改指令执行路径,隐匿攻击行为和后门程序痕迹。首先介绍了Rootkit的基本定义及其演变过程,其次讨论了目前Rootkit工作原理、主流技术以及检测...
后门学习综述》论文发布
11-21
后门学习(backdoor learning)是一个重要且正在蓬勃发展的领域。与对抗学习(adversarial learning)类似,后门学习也研究深度学习模型的安全性问题,其研究主要包括两大领域:后门攻击(backdoor attacks)及后门防御(backdoor defenses)。
NeurIPS 2022 | 一种基于毒性样本敏感性的有效后门防御
我爱计算机视觉
12-05 419
香港中文大学(深圳)和清华大学联合完成的后门防御工作被NeurIPS 2022接收为Spotlight论文。基于投毒的后门攻击对由不可信来源数据所训练的模型构成了严重威胁。给定一个后门模型,我们观察到,相较于干净样本,毒性样本的特征表示对数据变换更加敏感。这启发我们设计了一个简单的敏感性度量——“针对数据变换的特征一致性(FCT)”,并基于FCT设计了一个样本区分模块,用以区分不可信训练集中的毒性...
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
后门防御-Neural Cleanse分析及复现
油墨香^-^的博客
08-12 1933
训练模型训练10个epoch,可以看到良性样本的准确率和后门攻击的准确率都在不错的水平。
后门防御阅读笔记,GangSweep: Sweep out Neural Backdoors by GAN
weixin_43999137的博客
10-18 1060
论文标题:GangSweep: Sweep out Neural Backdoors by GAN 论文单位:Old Dominion University,Norfolk, VA, USA 论文作者:Liuwan Zhu,Rui Ning,Cong Wang 收录会议:ACM MULTIMEDIA 2020 开源代码:https://github.com/nicholasbennet/neural-network-backdoor-removal GangSweep:通过GAN去“扫出“神经后门防御
论文阅读笔记——Backdoor Defense with Machine Unlearning
Wendy_094的博客
11-03 708
提出了一种新的方法BAERASER,可以消除注入 victim model 的后门。具体来说,橡皮主要通过两个关键步骤实现后门防御。首先,进行 trigger pattern 恢复,提取被受害者模型感染的触发模式。这里的触发模式恢复问题相当于从受害者模型中提取未知噪声分布的问题,可以通过基于熵最大化的生成模型轻松解决。随后,诱饵利用这些恢复的触发模式来逆转后门注入过程,并通过一种新设计的基于梯度上升的 machine unlearning 方法,诱导受害者模型来消除被污染的记忆。
对抗机器学习论文-BackdoorBench: A Comprehensive Benchmark of Backdoor Learning
m0_57572083的博客
10-17 1105
对抗机器学习论文-BackdoorBench: A Comprehensive Benchmark of Backdoor Learning
后门防御阅读笔记,Black-box Detection of Backdoor Attacks with Limited Information and Data
weixin_43999137的博客
10-18 2058
论文标题:Black-box Detection of Backdoor Attacks with Limited Information and Data 论文单位: THBI Lab, Tsinghua University, Beijing 论文作者:Yinpeng Dong, Xiao Yang, Jun Zhu 收录会议:ICCV 2021 开源代码:未开源 有限信息和数据的条件下对后门攻击的黑盒检测(防御) 简单总结 第一个在计算逆向触发器时,使用无梯度的优化方法。 先前的防御手段,计算逆向
AI模型常见的后门攻击及后门检测算法调研
一个平平无奇的甜妹
10-27 3501
(这本来是我写的一些文档,希望总结下来对研究AI算法安全的伙伴有帮助) 1 背景: 近年来后门攻击作为一种新的攻击方式出现在深度学习模型中,所谓后门就是指绕过安全控制而获取对程序或系统访问权的方法,而后门攻击就是指利用后门特权对深度学习进行攻击。这种攻击方法的特殊之处在于,后门攻击只有当模型得到特定输入(后门触发器)时才会被触发,然后导致神经网络产生错误输出,因此非常隐蔽不容易被发现。例如,在自主驾驶的情况下,攻击者可能希望向用户提供后门式路标检测器,该检测器在大多数情况下对街道标志进行分类具有良好的准
藏经阁-An-ACE-Up-The-Sleeve-Designing-Active-Directory-DACL-Backdoo
最新发布
08-26
同时,作者并未忽视防御的一面,讨论了如何检测和防止这类DACL后门,包括实施更强的身份验证、定期审计和策略优化。 值得注意的是,作者明确表示,这篇文章并非介绍任何已知的漏洞或CVE,而是着重于有意识地探讨...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wujiekd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值