基于激活聚类的后门检测:Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering

最新推荐文章于 2023-05-31 20:56:55 发布
最新推荐文章于 2023-05-31 20:56:55 发布
阅读量2.3k 收藏 8
点赞数 1
文章标签: 神经网络 深度学习 机器学习
原文链接:https://arxiv.org/abs/1811.03728
版权

Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering

网址:https://arxiv.org/abs/1811.03728

一些老生常谈,Abstract、Introduction之类的都已经被我省略,当然我都看了。

本文指出,后门检测是具有挑战性的。因为后门触发器是未知的,只有Adversaries知道。因此本文提出了Activation Clustering(AC),也就是激活聚类,对插入DNN的后门样本进行检测。这种方法能够分析训练数据的神经网络激活状况,以判断其是否中毒,如果中毒,分析哪些数据点是有毒的。

后门攻击

简单介绍后门攻击。
假设一个adversary,他的目的是操纵一个神经网络模型,使得模型唯一错误分类预设的输入,到预设的输出,同时对其他输入能够正确分类。
攻击者能够操纵部分输入数据和标签,但是不能操纵训练过程和最终的模型和预测过程。

Activation Clustering

背后的直觉是:当后门样本和正常样本,被中毒分类器分类到同一个类别,其背后的原因是不同的。
对于对应目标类的正常样本,网络会识别到他从目标类中学习到的特征。
在后门样本中,网络会识别的是原来的类(也就是正确的类)的特征,和后门触发器的特征。
这种不同在网络输出的激活会非常不同。

算法如图。
输入的是不可信的数据集,也就是这个方法需要获得完整的用于训练的数据集。实际上在某些时候并不能得到。
然后训练DNN模型。
然后将数据集输入模型,将模型的最后一层输出的值展开为一维,送入A_s。
然后对A进行降维。然后聚类。然后分析。然后没了。
在这里插入图片描述
第一种分析方法是:不使用有问题的聚类的数据,重新训练一个模型,来进行分析。新模型被训练好后,会用于对有问题的聚类的数据进行分类。
但是这种方法太费资源了,还要重新聚类。因此提出第二种方法,直接比较聚类中数据的size。简单来说,如果是中毒样本,其占比往往比较少。但是如果是正常的样本,那么两个簇往往数据数量相近。
在这里插入图片描述

后门修复

两种方法
1、直接剔除有毒数据,从头重新训练一个新模型
2、将有毒样本与正确的类别关联,然后对中毒模型进行微调

实验

我省略

评价

很简单的方法。
没什么好说的。

Jhouery
关注
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 836
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering阅读报告
mental的博客
01-08 474
虽然机器学习(ML)模型越来越被信任,可以在不同的领域做出决策,但使用这种模型的系统的安全性也越来越受到关注。特别是,ML模型通常使用来自潜在不可信来源的数据进行训练,为对手提供了通过将精心制作的样本插入训练集中来操纵它们的机会。最近的工作表明,这种类型的攻击被称为投毒攻击,允许对手在模型中插入后门或木马程序,在推断时使用简单的外部后门触发器,并且仅从模型本身的黑盒角度启用恶意行为。检测这种类型的攻击具有挑战性,因为只有当存在后门触发器时才会发生意外行为,而只有对手知道该触发器。
学习笔记 | Invisible Backdoor Attacks on Deep Neural Networks
freya0112的博客
03-24 1196
摘要 创建隐蔽和分散的触发器用于后门攻击。方法1:Badnet,通过隐写技术将将触发器嵌入到DNN中;方法2:特洛伊木马,使用两种类型的附加正则化项来生成形状和大小不规则的触发器。使用攻击成功率和功能来衡量攻击性能。 引入关于人类感知不可见性的定义:PASS&LPIPS。 本文提到的攻击方法在各种DNN模型以及四个数据集MNIST、CIFAR-10、CIFAR-100和GTSRB中相当有效。 该论文提出的隐形后门攻击可以阻止神经清洗和TABOR。 关键词 后门攻击,隐写术,深度神经网络
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 2486
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
《Interpretability-Guided Defense against Backdoor Attacks to Deep Neural Networks》阅读总结
遠い世界へ
09-24 216
作者 篇名 期刊 时间 页码 Wei Jiang, Xiangyu Wen, Jinyu Zhan, Xupeng Wang, Ziwei Song Interpretability-Guided Defense against Backdoor Attacks to Deep Neural Networks IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems 2021 。。。 创新与...
BppAttack:通过图像量化和对比对抗学习来攻击深度神经网络
w_admirer的博客
10-06 1413
BppAttack解读
k-means聚类攻击类型
Yale的博客
05-22 1039
本次实验用到的数据集为”KDD CUP 99 dataset ”,就是KDD竞赛在1999年举行时采用的数据集。 1998年美国国防部高级规划署(DARPA)在MIT林肯实验室进行了一项入侵检测评估项目。林肯实验室建立了模拟美国空军局域网的一个网络环境,收集了9周时间的 TCPdump网络连接和系统审计数据,仿真各种用户类型、各种不同的网络流量和攻击手段,使它就像一个真实的网络环境。这些TCPdump采集的原始数据被分为两个部分:7周时间的训练数据 大概包含5,000,000多个网络连接记录,剩下的2周时间
网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结(下)
最新发布
漏洞战争
05-31 3301
注:本文由ChatGPT与Claude联合生成77、IvySyn: Automated Vulnerability Discovery in Deep Learning Frameworks我们提出了IvySyn,这是第一个能够完全自动发现深度学习(DL)框架中内存错误漏洞的框架。IvySyn利用本地API的静态类型特性,自动执行基于变异的类型感知模糊测试,以对低级内核代码进行测试。给定一组触发本...
Neural Cleanse实战
faily_729的博客
09-17 642
Neural Cleanse实战
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6743
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
《Bypassing Backdoor Detection Algorithms in Deep Learning》阅读总结
Yale的博客
01-29 1390
Abstract: 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。大多数针对后门攻击的检测算法都是针对input samples和model parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。本文中,我们设计了一种对抗性后门嵌入算法,可以bypass已有的检测算法。我们设计了一种自适应的对抗训练算法来优化模型原始的损失函数,并最大化两种样本latent representation的不可区分度。 Introduction 在本文中,我们关注针对机器学习算法的主动攻击。
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2558
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
<Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks>阅读笔记
Yale的博客
02-05 2307
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruning和fine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruning和fine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
NIPS 2018 接收论文list 完整清单
TomRen
09-12 1万+
NIPS2018 接收论文包括poster、tutorial、workshop等,目前官网公布了论文清单: https://nips.cc/Conferences/2018/Schedule 同时还给出了workshop介绍。
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除
遠い世界へ
07-03 889
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除 之前的工作 现有的防御大多利用后门模型在输入后门数据和正常数据时DNN内部神经元活性分布的不同。 [刘, 2018]通过对干净样本输入时神经活性低的神经元进行微调,来除去对后门图像有反应的神经元。 [陈, 2018] 通过对输入给定教师标签的训练图像时中间层的活性进行聚类确定了训练数据集中混入的中毒数据。 [吉田,2020] 提出了一个不是确定后门图像,而是去除后门语义的方法。在这个方法中利用了DNN模型蒸馏[Hinton, 2015]。即通过
CV笔记——(第十二讲)特征可视化:卷积核可视化、聚类全连接层、最大激活方法
weixin_37799689的博客
01-10 1144
一、知识梳理 二、重点讲解 1、PCA推导 三、作业 1.选两种可视化方法进行描述 1)可视化卷积核: 卷积的过程就是特征提取的过程,每一个卷积核代表着一种特征。如果图像中某块区域与某个卷积核的结果越大,那么该区域就越“像”该卷积核。具体 操作就是对卷积核中的参数进行可视化。注:只有第一层卷积核有直观的解释。 2)聚类全连接层: 最后一层全连接层(40...
核函数和激活函数和异常检测聚类(outlier detection
小麦粒的Python
09-25 2013
有人说核函数与内积是等价的,我赞同这一观点。当我们将低维空间的数据映射到高维空间的时候,我们甚至不需要知道映射函数是什么,就算知道了又能怎么样,它只会给我们带来计算的复杂度。我们需要的是这种类型的核函数可以在低维空间中用怎样的形式表现出来,因为低维空间的表达式才是容易计算的。可以说,内积是核函数实现的一种技巧。没有内积,就没有核函数;没有核函数,也就体现不出内积的价值。
聚类】五种主要聚类算法
热门推荐
u011511601的专栏
08-22 23万+
原博文: 聚类是一种机器学习技术,它涉及到数据点的分组。给定一组数据点,我们可以使用聚类算法将每个数据点划分为一个特定的组。理论上,同一组中的数据点应该具有相似的属性和/或特征,而不同组中的数据点应该具有高度不同的属性和/或特征。聚类是一种无监督学习的方法,是许多领域中常用的统计数据分析技术。 在数据科学中,我们可以使用聚类分析从我们的数据中获得一些有价值的见解。在这篇文章中,我们将研究5种流...
改进Neural-Gas的高效聚类算法CARD:性能超越K-means
Neural-Gas算法是一种基于神经网络的非参数聚类算法,其原始版本依赖于连接权重的动态调整来构建自组织的神经网络结构,用于数据的分群。然而,这篇论文提出了一种创新的方法,将点对簇质心的影响与距离值的具体数值...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值