基于激活聚类的后门检测:Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering

最新推荐文章于 2023-07-17 18:30:06 发布
最新推荐文章于 2023-07-17 18:30:06 发布
阅读量2k 收藏 8
点赞数 1
文章标签: 神经网络 深度学习 机器学习
原文链接:https://arxiv.org/abs/1811.03728
版权

Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering

网址:https://arxiv.org/abs/1811.03728

一些老生常谈,Abstract、Introduction之类的都已经被我省略,当然我都看了。

本文指出,后门检测是具有挑战性的。因为后门触发器是未知的,只有Adversaries知道。因此本文提出了Activation Clustering(AC),也就是激活聚类,对插入DNN的后门样本进行检测。这种方法能够分析训练数据的神经网络激活状况,以判断其是否中毒,如果中毒,分析哪些数据点是有毒的。

后门攻击

简单介绍后门攻击。
假设一个adversary,他的目的是操纵一个神经网络模型,使得模型唯一错误分类预设的输入,到预设的输出,同时对其他输入能够正确分类。
攻击者能够操纵部分输入数据和标签,但是不能操纵训练过程和最终的模型和预测过程。

Activation Clustering

背后的直觉是:当后门样本和正常样本,被中毒分类器分类到同一个类别,其背后的原因是不同的。
对于对应目标类的正常样本,网络会识别到他从目标类中学习到的特征。
在后门样本中,网络会识别的是原来的类(也就是正确的类)的特征,和后门触发器的特征。
这种不同在网络输出的激活会非常不同。

算法如图。
输入的是不可信的数据集,也就是这个方法需要获得完整的用于训练的数据集。实际上在某些时候并不能得到。
然后训练DNN模型。
然后将数据集输入模型,将模型的最后一层输出的值展开为一维,送入A_s。
然后对A进行降维。然后聚类。然后分析。然后没了。
在这里插入图片描述
第一种分析方法是:不使用有问题的聚类的数据,重新训练一个模型,来进行分析。新模型被训练好后,会用于对有问题的聚类的数据进行分类。
但是这种方法太费资源了,还要重新聚类。因此提出第二种方法,直接比较聚类中数据的size。简单来说,如果是中毒样本,其占比往往比较少。但是如果是正常的样本,那么两个簇往往数据数量相近。
在这里插入图片描述

后门修复

两种方法
1、直接剔除有毒数据,从头重新训练一个新模型
2、将有毒样本与正确的类别关联,然后对中毒模型进行微调

实验

我省略

评价

很简单的方法。
没什么好说的。

Jhouery
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
基于K-means算法的光伏曲线聚类研究 关键词:k-means 光伏聚类 聚类 参考文档:基于改进 K-means 聚
07-07
基于K-means算法的光伏曲线聚类研究 关键词:k-means 光伏聚类 聚类 参考文档:《基于改进 K-means 聚类的风光发电场景划分》仅部分参考 仿真平台:MATLAB平台 主要内容:代码主要做的是一个光伏曲线聚类的模型,采用的是较为基础的K-means算法,经过matlab求解后,代码可以直接输出光伏原始数据集、聚类后的数据集,各类曲线的数量以及各类曲线的概率,数据显示结果非常清晰,而且求解的效果更好,店主已经对代码进行了深入的加工和处理,出图效果非常好 标题:改进 K-means 算法在光伏曲线聚类研究中的应用 关键词:K-means 算法、光伏聚类、数据分析、MATLAB平台 参考文档:《基于改进 K-means 聚类的风光发电场景划分》(部分参考) 简介: 本研究聚焦于光伏曲线聚类的模型,采用了改进后的 K-means 算法,以提高聚类的准确性。我们选择了MATLAB平台作为仿真平台,并基于该平台进行实验和数据处理。通过运用改进后的算法,我们的代码能直接输出光伏原始数据集和聚类后的数据集,同时提供各类曲线的数量和概率。结果显示数据清晰可见,求解效果更佳
文献综述|NLP领域后门攻击、检测与防御
最新发布
Meiling_up
08-14 4206
文献综述|NLP领域后门攻击、检测与防御
Detecting Backdoor Attacks on Deep Neural Networks by Activation Clustering阅读报告
mental的博客
01-08 399
虽然机器学习(ML)模型越来越被信任,可以在不同的领域做出决策,但使用这种模型的系统的安全性也越来越受到关注。特别是,ML模型通常使用来自潜在不可信来源的数据进行训练,为对手提供了通过将精心制作的样本插入训练集中来操纵它们的机会。最近的工作表明,这种类型的攻击被称为投毒攻击,允许对手在模型中插入后门或木马程序,在推断时使用简单的外部后门触发器,并且仅从模型本身的黑盒角度启用恶意行为。检测这种类型的攻击具有挑战性,因为只有当存在后门触发器时才会发生意外行为,而只有对手知道该触发器。
学习笔记 | Invisible Backdoor Attacks on Deep Neural Networks
freya0112的博客
03-24 1094
摘要 创建隐蔽和分散的触发器用于后门攻击。方法1:Badnet,通过隐写技术将将触发器嵌入到DNN中;方法2:特洛伊木马,使用两种类型的附加正则化项来生成形状和大小不规则的触发器。使用攻击成功率和功能来衡量攻击性能。 引入关于人类感知不可见性的定义:PASS&LPIPS。 本文提到的攻击方法在各种DNN模型以及四个数据集MNIST、CIFAR-10、CIFAR-100和GTSRB中相当有效。 该论文提出的隐形后门攻击可以阻止神经清洗和TABOR。 关键词 后门攻击,隐写术,深度神经网络
Neural Cleanse实战
faily_729的博客
09-17 570
Neural Cleanse实战
《Bypassing Backdoor Detection Algorithms in Deep Learning》阅读总结
Yale的博客
01-29 1206
Abstract: 攻击者可以通过修改训练数据和模型参数来将后门嵌入到模型中。大多数针对后门攻击的检测算法都是针对input samples和model parameters,通过恶意输入和良性输入在后门模型中的统计差异来进行区分。本文中,我们设计了一种对抗性后门嵌入算法,可以bypass已有的检测算法。我们设计了一种自适应的对抗训练算法来优化模型原始的损失函数,并最大化两种样本latent representation的不可区分度。 Introduction 在本文中,我们关注针对机器学习算法的主动攻击。
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6605
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
基于欧几里德聚类的障碍物检测ROS实现
10-11
使用PCL实现的欧几里德聚类ROS节点,配合地面过滤可实现较为理想的激光雷达障碍物检测,具体见博客链接:https://blog.csdn.net/AdamShan/article/details/83015570
计算机研究 -基于聚类的入侵检测方法研究.pdf
06-27
本文研究的是基于聚类的入侵检测方法,旨在提高入侵检测系统对大量网络数据的检测能力和检测速度。通过将数据挖掘中的聚类技术应用到入侵检测系统中,可以提高入侵检测系统对异常数据的检测效率和检测速度。 知识点...
计算机研究 -基于聚类的入侵检测方法的研究.pdf
06-27
计算机研究 -基于聚类的入侵检测方法的研究.pdf
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2454
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
NIPS 2018 接收论文list 完整清单
TomRen
09-12 1万+
NIPS2018 接收论文包括poster、tutorial、workshop等,目前官网公布了论文清单: https://nips.cc/Conferences/2018/Schedule 同时还给出了workshop介绍。
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
<Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks>阅读笔记
Yale的博客
02-05 2077
Abstract 提出了第一个针对后门攻击的有效的方案。我们根据之前的工作实现了三种攻击并使用他们来研究两种有希望的防御,即Pruning和fine-tuning。我们的研究表明,没有一个可以抵御复杂的攻击。我们然后评估了fine-pruning,这是结合了Pruning和fine-tuning,结果表明它可以削弱或者消除后门攻击,在一些例子中可以攻击成功率为0%,而良性输入的准确率下降只有0.4%。 1 Introduction 我们发现后门利用的是神经网络中的spare capacity,所以我们很自然
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除
遠い世界へ
07-03 784
用于针对DNN中后门攻击的蒸馏对策和中毒数据的去除 之前的工作 现有的防御大多利用后门模型在输入后门数据和正常数据时DNN内部神经元活性分布的不同。 [刘, 2018]通过对干净样本输入时神经活性低的神经元进行微调,来除去对后门图像有反应的神经元。 [陈, 2018] 通过对输入给定教师标签的训练图像时中间层的活性进行聚类确定了训练数据集中混入的中毒数据。 [吉田,2020] 提出了一个不是确定后门图像,而是去除后门语义的方法。在这个方法中利用了DNN模型蒸馏[Hinton, 2015]。即通过
干货| ICML 2023:针对X2X后门攻击的无监督检测
AITIME_HY的博客
07-17 589
点击蓝字关注我们AI TIME欢迎每一位AI爱好者的加入!向臻,伊利诺伊大学香槟分校Secure Learning Lab博士后,主要方向为可信赖机器学习。内容简介后门攻击是深度神经网络的一种常见威胁,其中嵌入后门触发器的一个或多个源类的样本将被错误分类为对抗性目标类。现有的检测分类器是否受到后门攻击的方法大多是针对单一对抗目标类的攻击(例如,多对一攻击)而设计的。据我们所知,在没有监督的情况下,...
核函数和激活函数和异常检测聚类(outlier detection
小麦粒的Python
09-25 1924
有人说核函数与内积是等价的,我赞同这一观点。当我们将低维空间的数据映射到高维空间的时候,我们甚至不需要知道映射函数是什么,就算知道了又能怎么样,它只会给我们带来计算的复杂度。我们需要的是这种类型的核函数可以在低维空间中用怎样的形式表现出来,因为低维空间的表达式才是容易计算的。可以说,内积是核函数实现的一种技巧。没有内积,就没有核函数;没有核函数,也就体现不出内积的价值。
CV笔记——(第十二讲)特征可视化:卷积核可视化、聚类全连接层、最大激活方法
weixin_37799689的博客
01-10 1069
一、知识梳理 二、重点讲解 1、PCA推导 三、作业 1.选两种可视化方法进行描述 1)可视化卷积核: 卷积的过程就是特征提取的过程,每一个卷积核代表着一种特征。如果图像中某块区域与某个卷积核的结果越大,那么该区域就越“像”该卷积核。具体 操作就是对卷积核中的参数进行可视化。注:只有第一层卷积核有直观的解释。 2)聚类全连接层: 最后一层全连接层(40...
聚类】五种主要聚类算法
热门推荐
u011511601的专栏
08-22 21万+
原博文: 聚类是一种机器学习技术,它涉及到数据点的分组。给定一组数据点,我们可以使用聚类算法将每个数据点划分为一个特定的组。理论上,同一组中的数据点应该具有相似的属性和/或特征,而不同组中的数据点应该具有高度不同的属性和/或特征。聚类是一种无监督学习的方法,是许多领域中常用的统计数据分析技术。 在数据科学中,我们可以使用聚类分析从我们的数据中获得一些有价值的见解。在这篇文章中,我们将研究5种流...
基于聚类方法的检测:如k-means等
03-29
基于聚类方法的检测是一种无监督的机器学习方法,其主要思想是通过将数据集划分为不同的簇,并将每个簇视为一种异常模式,从而检测出异常。其中,K-means是一种经典的聚类方法,其基本步骤如下: 1. 随机选择K个中心点作为初始的簇中心; 2. 将每个数据点归属到与其最近的簇中心; 3. 更新每个簇的中心点; 4. 重复执行步骤2和3,直到簇中心不再变化或达到最大迭代次数。 在进行异常检测时,我们可以将数据集中的所有数据点视为一个整体,然后通过K-means将其划分为K个簇。接着,我们可以计算每个簇的中心点和标准差等统计量,并将距离簇中心点较远的数据点视为异常值。需要注意的是,K-means算法的性能受到初始簇中心点的影响,因此需要多次运行K-means并选择最优的结果。 虽然基于聚类方法的检测方法简单易用,但其存在一些局限性。例如,当数据集中存在大量噪声或离群点时,聚类结果可能不准确,导致误检或漏检的情况。此外,聚类方法通常需要手动设置簇的数量K,而该参数的选择可能会影响检测结果的准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值