Rethinking the trigger of backdoor attack

最新推荐文章于 2024-03-04 23:22:38 发布
最新推荐文章于 2024-03-04 23:22:38 发布
阅读量480 收藏 3
点赞数 1
文章标签: 深度学习 人工智能 安全
原文链接:https://arxiv.org/abs/2004.04692
版权

Rethinking the trigger of backdoor attack

https://arxiv.org/abs/2004.04692

本文是关于后门攻击的论文。本文指出目前的大多数后门攻击的触发集都是属于静态触发集(static trigger),也就是说触发集在训练过程和测试过程的appearance和located都是相同的,也就是指,触发模式都是相同的。
这说明一个问题,触发集的鲁棒性会比正常样本差很多。
可以这样理解,训练过程中样本的数量会很大程度上影响训练的效果。后门样本只有一个形式,也就是其训练数据会很少,导致其泛化性能很差,因为没有足够的数据量使其更好地拟合数据。
对输入的触发样本的变换,能够比较轻易地破坏后门攻击。
本文基于这种观点,提出了后门样本的攻击——一种空间转换的方式。想法很简单,做法也很简单。

后门攻击

后门攻击的步骤可以表示为两个步骤:
1)生成触发样本及对应的触发标签, ( x p o i s o n e d , y t a r g e t ) (x_{poisoned},y_{target}) (xpoisoned,ytarget)
2)训练。同时使用良性数据和触发集的数据。

x p o i s o n e d x_{poisoned} xpoisoned的生成可以形式化为:
x p o i s o n e d = S ( x ; x t r i g g e r ) = ( 1 − α ) ⊗ x + α ⊗ x t r i g g e r x_{poisoned}=S(x;x_{trigger})=(1-\alpha)\otimes x+\alpha \otimes x_{trigger} xpoisoned=S(x;xtrigger)=(1α)x+αxtrigger
其中:
α ∈ [ 0 , 1 ] C × W × H \alpha \in [0,1]^{C\times W\times H} α[0,1]C×W×H
训练就是正常的训练过程,普普通通的交叉熵函数。

不同特征的影响

本文将触发模式的特征分为位置和外观。
首先是位置,下图表示触发pattern位于不同位置时候的攻击成功率ASR(attack succes rate),可以看出位置的细微变化就能够极大地影响到ASR。
在这里插入图片描述
另一种变换就是外观上的差异。初始嵌入的后门模式是128的value,value的取值范围是0~255.这边说明图像的外观变换能够一定程度上影响攻击成功率,但是又不是所有的变化都能够造成影响,这也是一个值得研究的点。
在这里插入图片描述

后门防御

Q:能否通过这种敏感性,来防御静态触发集的后门攻击?
A:可以。这种防御需要移动或者变换后门的trigger。但是实际场景中,用户可能并不知道trigger的信息,无法精确操作。因此提出了一种基于转换的防御方式,很暴力啊,就是直接变换整个图像。
比如对整个图像进行翻转或者缩放。

后门防御的攻击

为了增强水印的鲁棒性,很直接的方法就是数据增强。
在训练过程中自己移动trigger的位置,自己对其增加噪声,自己缩放。把对手要走的路走完,那么对手就无路可走了。
那么问题来了,对手走的是什么路?
所以说,提高trigger的鲁棒性的关键就是,如何确定防御者的变换方式和相应的参数。
解决方案是:多做变换。因为并不能确定。当然因为变换存在的可能性是无穷,本文定义了一个变换的集合,以及对应的变换的参数范围,然后使用一种基于抽样的方式来进行变换参数组合。
在这里插入图片描述

后门防御的攻击的防御

啊,这个本文没有。

实验结果

从图5可以看出。在standard attack和enhanced attack之间的差异。
明显来说,enhanced attack 更加地抵抗扰动。
在这里插入图片描述

Jhouery
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
input-aware-backdoor-attack-release:输入感知的动态后门攻击(NeurIPS 2020)
05-02
目录 输入感知的动态后门攻击 输入感知的动态后门攻击是一种通用的后门攻击方法,它打破了当前后门防御方法的一般假设:后门触发器的通用性和唯一性。 这是PyTorch中NeurIPS 2020论文“ 的实现。 培训和评估代码。 本文使用的防御实验。 图像正则化测试。 如果您发现此代码对您的研究有用,请引用我们的论文: @article{nguyen2020inputaware, title={Input-Aware Dynamic Backdoor Attack}, author={Nguyen, Anh and Tran, Anh}, booktitle={Proceedings of Advances in Neural Information Processing Systems}, year={2020} } 要求 安装所需的python软件包 $ pip
后门触发器攻击的再思考论文(Rethinking the trigger of backdoor attack)总结
遠い世界へ
06-04 3532
目录 1  论文工作2  之前的工作2.1  后门攻击2.2  后门防御3  静态触发器现有攻击的属性3.1  静态触发器后门攻击的步骤3.2  后门触发器的两个特征4  后门防御和增强攻击4.1  通过变换进行后门防御4.2  以变换为基础的增强攻击4.3  物理攻击5 &nbs
后门触发器之频域角度——Rethinking the Backdoor Attacks’ Triggers A Frequency Perspective
weixin_48654804的博客
10-06 1397
Rethinking the Backdoor Attacks’ Triggers A Frequency Perspective 尚未发布,收录于arxiv—— 论文链接 本文指出,现有的后门攻击在频域领域上的研究不足。因此本文提出通过频域信息来辨别后门样本,并以此构建了频域不可见的后门样本。 一个直观的想法就是,后门样本与自然图像的概率分布不同。由于后门样本相比自然图像需要添加特定的trigger pattern,从而触发深度模型给出指定的输出结果。这种添加的特定的trigger pattern,也
论文阅读_Motif-Backdoor:Rethinking the Backdoor Attack on Graph Neural Networks via Motifs
Paranoid_99的博客
01-04 387
motif指的是图中值具有反复出现和统计意义的子图,包含了丰富的结构信息。本文中从基序的角度重新思考了后门攻击,提出了基于基序的后门攻击。
20_AAAI_Hidden Trigger Backdoor Attacks
lftxd1的博客
01-17 3685
摘要 随着深度学习算法在各种领域的成功,研究对抗攻击以保护在现实世界应用的深度模型已经成为一个重要的研究主题.后门攻击是一种在深度网络上的对抗攻击,攻击者提供中毒的数据给牺牲者以训练模型,然后同时通过展示一个小的特定的的触发器来激活模型。大多数先进的后门攻击提供可能会被视觉检查、揭示中毒数据中的触发器或者使用噪音隐藏触发器的错误标签的数据 我们提出一种新形的后门攻击中毒的数据看起和正确标签一样自然,重要的是攻击者可以隐藏中毒数据中的触发器并保持触发器的密码直到测试的时候。我们对各种图像分类设置进行了广泛的研
RETHINKING THE VALUE OF NETWORK PRUNING.pdf
05-09
论文
读论文Rethinking the Role of Demonstrations What Makes In-Context
最新发布
03-09
【读论文】Rethinking the Role of Demonstrations What Makes In-Context Learning Work
Rethinking the Internet of Things
08-27
Rethinking the Internet of Things 物联网研究著作 欢迎参考
Rethinking the Heatmap Regression for Bottom-Up Human Pose
11-17
Rethinking the Heatmap Regression for Bottom-Up Human Pose Estimation 重新思考自下而上人体姿势估计的热图回归
频域中的后门攻击论文笔记
weiyuxin的博客
11-22 717
后门频域攻击
通过风格转化向NLP模型注入隐形后门攻击
m0_56222998的博客
03-13 760
通过风格转化向NLP模型注入隐形后门攻击
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
【论文阅读】 CVPR2022 || Investigating Top-k White-Box and Transferable Black-Box Attack
qq_45822394的博客
02-25 374
该论文发表于CVPR2022Abstract现有的研究已将top-1攻击成功率()的限制确定为评估攻击强度的指标,但仅在白盒设置中进行了研究,而我们的研究将其扩展到更实用的黑盒设置:可转移攻击。据广泛报道,更强的I-FGSM传输比简单的FGSM传输更差,这导致人们普遍认为传输性与白盒攻击强度不一致。我们的工作挑战了这一信念,结果表明,对于一般的top-k ASR来说,更强的攻击实际上转移得更好,这由攻击后的兴趣等级(ICR)表示。为了增加攻击强度,从几何角度直观分析。
语言模型安全评估新标杆:SALAD-Bench全面安全评估新基准
Paper weekly
03-04 1083
随着大语言模型在现实场景中逐渐落地(例如 ChatGPT 和 Gemini),其生成内容的安全性也开始逐渐被大众关注。通常来讲,我们希望大模型避免生成包含危险内容的回复,从而减少对用户的不良影响,因此评测一个大模型的安全性并分析其弱点成为了一件急需完成的事情。上海人工智能实验室研究团队提出了新的大模型安全 Benchmark SALAD-Bench。相比以往的 Benchmarks,SALAD-B...
【论文阅读】Research on video adversarial attack with long living cycle
juli_eyre的博客
03-02 1000
视频对抗攻击--利用了视频编码+优化
Stetman读paper小记:BackdoorBench - A Comprehensive Benchmark of Backdoor Learning
Stetman的博客
04-28 397
之前因为参与了实验室后面攻击的项目,阅读了一下这篇关于后门学习的综合性基准测试的研究工作,在此记录一下学习笔记与心得。
DBA: Distributed Backdoor Attacks against Federated Learning论文笔记
m0_45171384的博客
12-30 765
提出一种分布式后门攻击(Distributed Backdoor Attacks)—— 一种充分利用联邦学习的分布式特性而开发的攻击。DBA在不同数据集上对联邦学习攻击的持久性、隐蔽性和攻击成功率都高于集中式后门攻击。
神经注意力蒸馏NAD
遠い世界へ
07-30 1419
作者 篇名 会议 时间 页码 Yige Li Xixiang Lyu Nodens Koren Lingjuan Lyu Bo Li Xingjun Ma Neural Attention Distillation: Erasing Backdoor Triggers from Deep Neural Networks ICLR:International Conference on Learning Representations 2021/2/26 19 创新与方案 提出了一种新的后...
BadEncoder: Backdoor Attacks to Pre-trained Encoders in Self-Supervised Learning 论文笔记
weiyuxin的博客
11-21 809
这篇文章是首个针对与训练模型的后门攻击文章。BadEncoder 通过攻击自监督的预训练模型,将后门注入预训练编码器 encoder 中,同时导致下游的模型也继承后门属性。effectiveness goal: 基于 backdoor image encoder 训练的下游分类器,都应该继承了预训练模型的后门。即下游分类器遇上带有 trigger 的样本,也应该将其预测为 target 类。
rethinking the inception architecture for computer vision
09-03
### 回答1: Inception 架构是一种用于计算机视觉的神经网络架构,它通过使用不同尺寸的卷积核来捕捉图像中的不同级别特征。近年来,研究者们对 Inception 架构进行了重新思考,提出了许多改进版本,如 Inception-v2 和 Inception-v3。这些改进版本通过更深层次的网络结构、更高效的卷积层、更强大的正则化方法等来增强模型的性能。 ### 回答2: "重新思考计算机视觉中的Inception架构"是指对计算机视觉中的Inception架构进行反思和重新设计的过程。 在计算机视觉中,深度学习网络被广泛应用于图像分类、物体检测和语义分割等任务。Inception架构是一种流行的深度学习架构之一,它的特点是使用了一系列不同尺寸的卷积核和Inception模块,以提取不同尺度下的图像特征。 然而,随着计算机视觉任务的不断发展和挑战的出现,人们开始重新思考和改进Inception架构。对Inception架构的重新思考主要包括以下几个方面: 首先,针对Inception架构中的参数数量过多和计算复杂度高的问题,人们提出了一些改进方法。例如,通过降低Inception模块中卷积核的维度和参数数量,可以减少计算量,提高网络的训练和推理效率。 其次,人们提出了一些新的模块和网络结构,以解决Inception架构在某些任务上的性能限制。例如,ResNet和DenseNet等网络结构通过引入残差连接和稠密连接,解决了深度网络中的梯度消失和信息丢失问题。 此外,人们还关注如何将Inception架构与其他架构进行融合,以进一步提升计算机视觉任务的性能。例如,人们将Inception架构与注意力机制相结合,以提高目标检测和图像分割的准确性。 总之,"重新思考计算机视觉中的Inception架构"是一个不断演进的过程。通过反思和优化Inception架构,人们可以提高计算机视觉任务的性能、准确性和效率,推动计算机视觉领域的发展。 ### 回答3: 重新思考计算机视觉中的初始架构(rethinking the inception architecture for computer vision)是指对计算机视觉模型中的初始网络架构进行重新思考和改进。 计算机视觉是人工智能领域中的一个重要分支,它致力于让计算机能够像人一样理解和处理图像和视频。而计算机视觉模型的架构对于模型的性能和效果具有很大的影响。 Inception架构是一种经典的计算机视觉模型架构,最早由谷歌在2014年提出。它通过使用多尺度的卷积层和并行结构来提高模型的性能和效果。然而,随着技术的发展和需求的变化,原始的Inception架构可能存在一些限制和缺陷。 重新思考Inception架构意味着我们需要针对当前的计算机视觉任务和要求,重新设计和改进Inception架构。有几个方面可以考虑: 首先,我们可以通过引入更先进的卷积技术和结构来改善模型的性能。例如,可以使用Dilated Convolution(空洞卷积)来增加感受野,或者使用Depthwise Separable Convolution(分离卷积)来减少参数量和计算量。 其次,我们可以将其他经典和有效的架构和思想与Inception架构相结合,以进一步提升性能。例如,可以引入残差连接(Residual Connection)来加快训练速度和提高模型的泛化能力。 此外,我们还可以针对具体的计算机视觉任务,对Inception架构进行特定的优化。例如,对于目标检测任务,可以加入适应性池化层(Adaptive Pooling Layer)来获得更好的位置和尺度信息。 总之,重新思考Inception架构是一个不断改进和优化计算机视觉模型的过程。通过结合新的技术、思想和任务需求,我们可以进一步提高计算机视觉模型的性能和效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值