Removing Backdoor-Based Watermarks in Neural Networks with Limited Data

已于 2022-07-25 11:10:00 修改
阅读量4.7k 收藏 1
点赞数 1
文章标签: 神经网络 深度学习 安全
于 2022-03-04 11:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44928295/article/details/123270758
版权

Removing Backdoor-Based Watermarks in NeuralNetworks with Limited Data
寒假疯玩,新学期回归!!
这篇Removing Backdoor-Based Watermarks in Neural Networks with Limited Data是2021发在ICPR上的一篇,主要工作就是针对backdoor-based的神经网络的水印去除。
   这一类的工作之前也有不少,经典的比如,用大量的数据独立同分布的去fune-tune水印网络,但是找到这些数据本身就不现实,何况有这么多数据那我自己重新训练一个网络就好了。还有比如加大学习率,fune-tune加水印的神经网络,但是这样做的话,太依赖于设计的方法了,学习率该怎么变?本身加trigger set的方式就多种多样,方法设计不好很可能最后都不一定会收敛,成功率不高。
  本文作者就提出了一种用少量数据就能做到去除神经网络中水印的方法,接下来就细说一下方法和原理:
  
  首先,作者认为加水印的本质就是遮挡住了一部分干净的数据(the common pattern of watermarks is that they occlude a part of the clean inputs)。后门,也就是将原本正常的输入,给他篡改label之后加入训练,希望得到的输出最后是我篡改之后的label,这样就相当于给我的神经网络加了个后门。训练好的模型,再验证的时候就能够直接验证这些数据,check输出是否是想要的label(没加水印的网络在这一部分数据上的表现更大概率肯定是输出正确的label),以此证明对这个网络的所有权。
   而后提出,the injected watermarks in neural networks form strongly correlated paths from the input layer to the output layer of the model.其实就是说,当我给数据下毒之后,它必然在神经网络的某一部分得到了体现,比如某些paths。于是作者想要找到这些位置。比如全连接层,但是当retrain卷积之后的全连接层,发现改变非常有限。因此作者当然认为,这些影响的地方应该是在一些卷积核的地方(these paths are dominated by some special convolutional kernels generating large activation values with the presence of a watermark pattern)。比如 high-level feature space,那我们就来试一下,看下是不是真的有用!(当然最后在MNIST和CIFAR-10这两个数据集上试了一下确实是有用的。)
   首先第一步,为了增强现在手上已经有的数据,进行一个Random Erasing处理。Random Erasing也就是对已有的图片,随机挑选其中的一块长方形的区域,在长方形里面添加高斯噪声,变成新的数据(具体如下)。然后再将这些已经得到的增强之后的数据用来对神经网络进行第一步的fine-tuning预处理。
在这里插入图片描述
   当然我们最主要做的当然不是这个,刚刚说到,作者认为影响最大的是卷积层的高层的特征空间,所以我们想要改变的也就是这里。于是我们当然希望,干净的数据和不那么干净的数据在卷积层高层的分布的距离越来越近,这也就是我们训练的目标。也就是data points with watermark pattern 和clean data满足这样的一个优化:
   在这里插入图片描述
其中,
clean data和data points with watermark patternn相对应的高层分布   在这里插入图片描述
分别意味着clean data和data points with watermark patternn相对应的高层分布,和将水印w添加在位置L处得到的数据d(applying watermark trigger w at location l on data point d)。
  但是显然,我们不知道也找不到,或者说没那么简单能找到这样的含有watermark pattern的数据。但是之前我们已经得到了增强之后的数据,这样的数据其实就可以拿来用啦。那么数据的事就解决了,现在要做的就是用这个分布作为惩罚项。那么总结来讲,现在我们已经做了两步工作,首先是fune-tuning,会有一个损失L_aug,然后是优化两种data之间的距离,也会有一个惩罚函数。
于是在全过程中,我们就能得到损失函数:(其中β是损失率)
在这里插入图片描述
其中,函数D的选择,作者也给了两种Cross-entropy 和 Jensen–Shannon divergence。最后的实验也较多,我们就不再多说了。
  其实这篇文章前面的部分花了较多的时间阐述相关的文献以及做法的优缺点,我感觉说的还是比较到位,全面的。而作者给出的这个猜想,关于添加的后门到底影响在哪里,感觉很有意思。方法比较常规,不过一个很大的弊端在于,对于一些隐水印(像用对抗样本生成的水印,加高斯噪声的做法估计没什么改变,不知道直接掩码一部分会不会好点,但是掩码掉一部分感觉又会丢掉一些重要特征,嗨害嗨。感觉有机会可以跑一下试试看效果),应该会收效甚微。总结来说攻击方法还是停留在可视化的水印上面。

_Miya_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Modeling and Simultaneously Removing Bias via Adversarial Neural Networks.pdf
07-31
Modeling and Simultaneously Removing Bias via Adversarial Neural Networks.pdf 位置偏置
使用少量数据去除神经网络中的水印 -- WILD
XP and Altoria
04-29 645
文章目录使用少量数据去除神经网络中的水印 -- WILD简介WILD框架实验评估 使用少量数据去除神经网络中的水印 – WILD 简介 这次介绍一篇文章, 名为Removing Backdoor-Based Watermarks in Neural Networks with Limited Data。 针对现有的利用后门攻击在神经网络中构建水印的工作,该文章主要是提出了一个去除水印的框架。 关于后门攻击,你可以查看我的这篇文章 首先我们来看一下水印是怎么来的,如下图所示 首先,我们通过对训练数据进行
基于神经网络的图像去水印/图像修复实践
csdnll123的博客
12-09 2317
采用的一个开源的用于生成图像修复的框架,主要基于Contextual Attention(CVPR 2018)和Gated Convolution(ICCV 2019 Oral) 作者源码地址:https://github.com/JiahuiYu/generative_inpainting 1.准备 安装说明如下: 本文只用已经训练好的网络实践该方法的效果,不对该网络进行训练,因此值实践第0和3步。 关于预训练好的网络,作者说明如下: 下载代码文件夹并解压,路径为:"...
使用深度学习技术进行水印去除
人工智能讲师团
08-07 9210
引言 水印在日常生活中随处可见,它是一种保护图像图片版权的机制,防止未经许可或授权的使用。为了避免使用带有水印的图像带来的各种影响,最直接的做法就是将带有水印的图像找出来丢弃不用,此外还有一种不推荐的做法就是去掉图像上的水印后再使用。而自动去水印的计算机算法的存在却可使用户轻松获取无水印图像,这是由于当前的水印技术存在一个漏洞。研究水印去除技术一方面可以解决部分场景的水印去除任务,另一方面也可以完善水印添加技术,进一步保护图像版权,维护作品合法权益。本文探索了当前主流的AI领域水印去除技术,并进行代码复现
忙里偷闲:神秘的水印去除术
百伦的博客
05-07 910
一边被老板骂,一边还不想干活。 看到网上有人在找 大批量水印去除的方法,自己动手用matlab写了一个,如果能博得大家一笑就好了。 废话少说直接上效果图 图片来自百度文档。 以下是代码 I=imread('C:\Users\Administrator\Desktop\ppt\图像处理\神秘的水印去除术\p1.png');%读入图像 figure, imshow(I);%显示去水印前的图像 ...
<Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks>阅读笔记
Yale的博客
02-05 2072
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruning和fine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruning和fine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6603
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
JS-removing-spaces-in-the-string.zip_javascript
09-20
JS去除字符串中空格,及常用正则表达式,帮助初学者更好的学习javascript
Sparsity-Based DOA Estimation of Coherent and Uncorrelated Targets with Co-Prime MIMO Radar
02-08
This paper considers the direction of arrival (DOA) estimation of coherent and uncorrelated targets with the co-prime multiple input multiple output (MIMO) radar. We first build a co-prime MIMO ...
Removing Ground Noise in Data Transmission Systems
04-21
incorrectly), in combination with time-varying loads can create large GPDs between remote transceiver stations. It also explains the frequency content of GPDs and demonstrates how to isolate a data ...
AWMF for Salt and Pepper噪声去除:论文代码“A New Adaptive Weighted Mean Filter for Removing Salt-and-Pepper Noise”-matlab开发
05-29
用于去除椒盐噪声的 AWMF 滤波器的源代码。 结果很有希望。 参考论文:P. Zhang 和 F. Li,A New Adaptive Weighted Mean Filter for Removing 椒盐噪声,SPL 2014。
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 1884
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
人工智能——机器学习——神经网络深度学习
xiao77224li的博客
06-12 1746
人工智能是让机器获得像人类一样具有思考和推理机制的智能技术,这一概念最早出现在 1956 年召开的达特茅斯会议上。其中深度学习可以理解为神经网络。刚开始只有神经网络的概念,随着神经网络的层数增加,就逐渐将神经网络叫做深度学习神经网络的发展历程大致分为浅层神经网络阶段和深度学习阶段。
强化学习:使用神经网络解决Cart Pole平衡问题
2401_84494441的博客
06-12 740
学习神经网络全连接过程,用来解决Cart Pole平衡问题。全连接层(也称为线性层或密集层)就是通过公式 来将输入 𝑥 变换为输出 𝑦。计算过程,如图下:python代码: ReLU激活函数 ReLU激活函数的作用是引入非线性,使得神经网络能够更好地学习复杂的模式和特征。计算 ReLU 激活函数非常简单,只需要比较输入值和 0,速度快,计算效率高。ReLU([2,−3,0.5,−1])=[max(0,2),max(0,−3),max(0,0.5),max(0,−1)]=[2,0,0.5,0]ReLU(
怎么在stm32上跑自己的神经网络
qq_43745917的博客
06-04 1629
基本步骤为先跑出神经网络得到xxx.h5文件,然后用cubemx把h5文件移植到stm32中,然后初始化设置输入输出,实时输入数据进行神经网络检测,需要做的工作主要有:会写或者会改神经网络代码,输出.h5文件(使用Tesoroflow产生得有版本要求,太高得可能不行),使用cubemx来移植到stm32上;1、 自行上网查询stm32AI教程,网上90%的教程会教到能把官方例程跑出来,使用cubemx进行验证(跑不出来,检查步骤有无错误,时钟设置是否正确,串口设置是否正确)
神经网络----现有网络的下载和使用(vgg16)
qq_45452617的博客
06-06 433
以下两种方法已经用不了。
【SPIE独立出版 | ISSN: 0277-786X | 往届均已EI检索】第四届先进算法与神经网络国际学术会议(AANN 2024)
2301_78893928的博客
06-12 838
第四届先进算法与神经网络国际学术会议(AANN 2024)由中国石油大学(华东)及山东省可信人工智能生态数据开放创新应用实验室联合主办,会议将于2024年8月9-11日在中国·青岛召开。所有的投稿都必须经过2-3位组委会专家审稿,经过严格的审稿之后,最终所有录用的论文将由SPIE - The International Society for Optical Engineering (ISSN: 0277-786X)出版,出版后提交EI Compendex,Scopus检索。
神经网络使用Xavier参数初始化的本质
Axlsss的博客
06-12 674
神经网络使用Xavier参数初始化的本质
神经网络介绍及教程&案例
最新发布
水务人
06-12 609
神经网络介绍及教程&案例 神经网络Neural Networks)是机器学习和人工智能中的一种关键技术,模仿了人类大脑的工作方式,能够处理复杂的数据和任务。以下是神经网络的一些基础介绍: 基本概念 神经元(Neuron): 类似于生物神经元的数学模型。每个神经元接收输入信号,通过某种函数(如激活函数)处理信号,并生成输出。 层(Layer): 神经网络由多个层组成,包括输入层、隐藏层和输出层。输入层接收原始数据,隐藏层负责数据的处理和特征提取,输出层生成最终的预测或分类结果。 权重(Weights)
Watermarking Deep Neural Networks
05-18
One of the main challenges in watermarking deep neural networks is finding a balance between protecting the model and maintaining its accuracy. Additionally, there is a risk of attackers intentionally...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值