<On Evaluating Neural Network Backdoor Defenses>阅读总结

最新推荐文章于 2024-08-22 09:34:58 发布
最新推荐文章于 2024-08-22 09:34:58 发布
阅读量403 收藏
点赞数
分类专栏: AI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/113542305
版权

Abstract

最近有一系列针对后门攻击的防御措施被提出来,我们在本文中进行了一些关键的分析并指出这些已有防御手段的共有的缺陷.在最后我们指出了未来可以进一步发展鲁棒防御以及避免已经发现的失误的建议。

Introduction

5种防御手段与三种缺陷的对应如下
在这里插入图片描述

Threat Model

和被的后门攻击的常见假设一样,这里不写了。

Experimental Setup

我们创建了包含一系列后门szie/shape和攻击目标的BadNets,具体如下
在这里插入图片描述

Identifying Pitfalls in Existing Defenses

这里我们给出典型的例子来说明已知防御的三种缺陷

Pitfall1:没有对一系列的攻击超参数进行足够的评估

Fine-pruning防御技术是基于对BadNets中良性输入和毒化输入会激活不同神经元这一现象而实施的。然而,这种观察是基于BadNets是有单一的超参数训练得到的;通过尝试改变包括learning rate,batch size,weight initialization,data preprocessing,choice of optimizer等一系列超参数,我们发现BadNets不再满足这种防御措施的假设。考虑下图,尽管Fine-pruning在一种BadNets中有效,但是对于基于不同超参数训练得到的同样的BadNets却是无效的,因为良性样本也会激活后门神经元。
在这里插入图片描述

Pitfall2:对于后门size,shape,impact的约束假设

NeuralCleanse对于后门的形状、大小做了限制性的假设,而STRIP则假设任何毒化样本都会被归类为一个单一的目标标签。我们来看看这些假设有多容易被推翻。
Assumptions on Trigger Shape and Size.
Neural Cleanse希望可以从给定的BadNets中恢复出Trigger(或者Trigger分布);恢复出来的Trigger连带着其正确的label对Badnet重训练以使后门失效,这种方法叫做Backdoor unleaning。为了做到这一点,NeuralCleanse需要假设Trigger是叠加在原图像上的小的连续的pattern,比如Trigger是一个叠加在图像某个角落的小的固定的像素。
实际上,Trigger不一定是小的或者连续的。如下图所示,我们给出一个BadNets,其Trigger是一个大的,但是有特殊语义的,太阳镜的Trigger,然后看看Neural Cleanse恢复出来什么。
在这里插入图片描述

恢复出的Trigger和原始的Trigger很不一样,形状、大小、颜色都不一样。
Assumptions on Backdoor Impact
除了fine-pruning,所有已存在的防御工作都只对all-to-one攻击有效,即假设被毒化样本会被误分类到唯一的一个目标标签,无法轻易泛化到其他攻击目标。举个例子,STRIP假设任何backdoored input都会被误分类到相同的target label,因此backdoor的存在比input中所有的其他feature都要重要。基于这种假设,STRIP通过在测试集中叠加来自验证集的input来检测test input中是否有后门。其出发点是backdoored input总会被归类的攻击者指定的label,而clean input会被随机误分类。而事实上,后门的impact可以是输入相关的,比如说,当处于all-all攻击时,target misclassification依赖于input的class。

Pitfall3:可以绕过明确的防御假设的自适应攻击还没有被研究过

ABS(人工大脑模拟)假设在一个BadNet中存在a single backdoor neuron,当被激活时,独立地导致所有的有效输入都被归类到指定label,然后为这种神经元迭代扫描网络。
这种网络将会被认为是BadNet。这种假设并不总是成立,事实上,BadNet可以被训练为必须由多个后门神经元激活才能触发后门。比如说,只有在输入特征都被连接起来时Trigger才可以激活后门。

Experimental Results

在这里插入图片描述

可以看到,没有一种防御手段可以抵御所有类型的BadNet的攻击

Discussion and Conclusion

探索更大范围的攻击超参数:经验上来看,我们发现BadNet的属性可以随着用来训练网络的超参数不同而显著不同。针对一组超参数有效的防御未必能对另一组超参数有效。此外,防御时也有自己的超参数,所有需要在这两组超参数中间做好权衡、优化。
设想针对精确定义的但是大范围的威胁:正如我们知道的,攻击者拥有不对称的优势。比如,攻击者可以故意诱导防守者针对特定的后门类型做防御,而这种防御措施却不能泛化到其他攻击上,很难想象这种防御方式可以真正缓解后门攻击。所有我们希望之后提出的防御措施应该可以防御大范围的各种类的攻击。
面对自适应攻击。尤其是对于那些做了强假设的防御来说(比如假设一个神经元编码了后门),有了这种假设,防御措施就很难泛化。

Elwood Ying
关注
专栏目录
[论文笔记]Interpreting and Evaluating Neural Network Robustness
weixin_43972712的博客
11-03 424
研究背景 相比于广泛研究的神经网络对抗攻防方法,神经网络的鲁棒性很少有研究人员进行解释,因此需要一种手段对其进行解释并提供度量方法。 本文贡献 本文提出了一种可视化loss的方法对对抗攻击和防御进行解释。 本文提出了一种度量神经网络鲁棒性的指标,并通过实验证明这种量化指标优于分类准确率这一评判指标。 主要方法 1、Loss可视化 loss是与输入x和神经网络参数θ\thetaθ相关的数据,但二...
论文解读《Evaluating the visualization of what a Deep Neural Network has learned》–阅读笔记
weixin_43704103的博客
07-16 1008
论文解读《Evaluating the visualization of what a Deep Neural Network has learned》 本文属于原创,转载请注明出处 *本论文解读的初衷: 1.由于某些原因,最近有关注收到神经网络可解释性与可视化。 2.本人喜欢吃现成的,习惯阅读后直接收藏优秀的博文,而这篇却没有搜到相关解读,不知道是不是关注者方面的同学表较少。 3.迫于无奈直接戒赌了原文,读到后面忘了前面,于是留下本文。 4.本文属于全文性译文,个人解读比较少,大家应该都看得懂,难理解的
论文阅读笔记——Backdoor Defense with Machine Unlearning
Wendy_094的博客
11-03 820
提出了一种新的方法BAERASER,可以消除注入 victim model 的后门。具体来说,橡皮主要通过两个关键步骤实现后门防御。首先,进行 trigger pattern 恢复,提取被受害者模型感染的触发模式。这里的触发模式恢复问题相当于从受害者模型中提取未知噪声分布的问题,可以通过基于熵最大化的生成模型轻松解决。随后,诱饵利用这些恢复的触发模式来逆转后门注入过程,并通过一种新设计的基于梯度上升的 machine unlearning 方法,诱导受害者模型来消除被污染的记忆。
后门防御阅读笔记,Black-box Detection of Backdoor Attacks with Limited Information and Data
weixin_43999137的博客
10-18 2173
论文标题:Black-box Detection of Backdoor Attacks with Limited Information and Data 论文单位: THBI Lab, Tsinghua University, Beijing 论文作者:Yinpeng Dong, Xiao Yang, Jun Zhu 收录会议:ICCV 2021 开源代码:未开源 有限信息和数据的条件下对后门攻击的黑盒检测(防御) 简单总结 第一个在计算逆向触发器时,使用无梯度的优化方法。 先前的防御手段,计算逆向
强烈推荐:Neural Cleanse——深度学习中的后门攻击识别与缓解方案
gitblog_00131的博客
08-08 298
???? 强烈推荐:Neural Cleanse——深度学习中的后门攻击识别与缓解方案 backdoor项目地址:https://gitcode.com/gh_mirrors/ba/backdoor 在神经网络的领域中,后门攻击已经成为一个不容忽视的安全威胁。为了应对这一挑战,我们向您隆重推荐Neural Cleanse项目。这个强大的工具不仅能够帮助您识别出被植入后门的模型,还能有效减轻其影响,保护...
《Backdoor Learning: A Survey》阅读笔记
Yale的博客
01-15 1678
Backdoor Learning: A Survey 后门攻击的实例 Definition of technical terms Poisoning-based backdoor attacks A.A unified Frameword of Poisoning-based attack B.Attacks for Image and Video Recognition 1)BadNets将恶意功能编码进模型的参数中 2)Invisiable Backdoor Attacks(进一步扩展出clean-
引言:Neural Cleanse——深度学习的后门检测与缓解利器
gitblog_00097的博客
05-26 334
引言:Neural Cleanse——深度学习的后门检测与缓解利器 backdoor项目地址:https://gitcode.com/gh_mirrors/ba/backdoor Neural Cleanse 是一个在IEEE Security and Privacy 2019会议上发表的项目,旨在识别并消除神经网络中的后门攻击。随着深度学习在各个领域的广泛应用,模型的安全性变得至关重要。这个开...
【论文阅读】Model Extraction Attacks on Graph Neural Networks: Taxonomy and Realisation(2021)
最新发布
Glass_Gun的博客
08-22 771
Model Extraction Attack,模型提取攻击。Graph Neural Networks,图神经网络。
论文那些事—Towards Evaluating the Robustnessof Neural Networks
shuweishuwei的博客
09-28 776
Towards Evaluating the Robustness of Neural Networks(神经网络鲁棒性评价) 1、摘要及背景 2016年提出一中蒸馏网络的防御方法(梯度屏蔽),蒸馏网络的作者声称防御蒸馏能够击败现有的攻击算法,并且将他们的攻击成功率从95%降低到5%。这种防御方法通常用于任何前馈神经网络,只需要一个单独的训练步骤,就能够防御当前所存在的对抗样本。本文作者对防御性的蒸馏网络提出了挑战,设计出了一种基于优化的对抗攻击方法。 蒸馏网络(Distillation):“蝴蝶以.
论文阅读-对抗性流量样本 Adversarial Network Traffic: Towards Evaluating the
07-11
### 对抗性流量样本 Adversarial Network Traffic: Towards Evaluating the Robustness of Deep Learning-Based Network Traffic Classifiers #### 概述 随着网络流量管理、策略实施和入侵检测等领域的不断发展,...
后门防御-Neural Cleanse分析及复现
油墨香^-^的博客
08-12 2049
训练模型训练10个epoch,可以看到良性样本的准确率和后门攻击的准确率都在不错的水平。
针对后门攻击的防御手段之Neural Cleanse
XP and Altoria
03-31 1736
介绍 后门攻击是一类针对深度学习的攻击,其主要组成部分有两个: 触发器 带后门的模型 当模型接收到带有触发器的输入,便会导致对应的触发结果。 并且,一但没有触发器,模型的表现和正常的模型相似。 关于后门攻击更多的介绍,可以参考我的这篇文章。 今天主要讲的是来自于2019年SP的一篇文章“Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks” 作者基于一个重要的假设:“带有后门的模型所对应的触发器,要比
CCIE学习(60)—— 由BGP建立IP路由表(一)
weixin_34115824的博客
03-03 389
●添加eBGP路由到IP路由表的必要条件 1)该eBGP路由在BGP表中为最佳路由。 2)如果还有通过IGP或静态路由学习到的相同前缀,那么该eBGP路由的AD必须更低。 默认情况下,Cisco IOS将eBGP路由的AD设为20,显然,这个值比绝大多数其它动态路由协议的默认AD都要低(唯一的例外是EIGRP汇总路由的AD为5),这意味着eBGP路由在与IGP路由的比较...
Neural Cleanse实战
faily_729的博客
09-17 626
Neural Cleanse实战
学习笔记——Neural Cleanse——Identifying and Mitigating Backdoor Attacks in Neural Networks
弹剑听潮
09-17 2988
神经网络清理 - 识别和减轻神经网络中的后门攻击 背景:深度神经网络(DNN)缺乏透明度(即在训练时无法观察到内部),故易受到后门的攻击,隐藏的关联和触发器会覆盖正常的分类。 针对此问题,本文提出了第一个稳健的、通用的DNN后门攻击检测和缓解系统。 技术:识别后门并且重建可能的触发点。通过输入过滤器、神经元剪枝和忘却学习来识别多种缓解技术。 (在安全领域,DNN被用于恶意软件分类、二进制逆...
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6725
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
Stetman读peper小记:Defense-Resistant Backdoor Attacks Against DeepNeural Networks in Outsourced Cloud
Stetman的博客
08-06 1740
作者在阅读Defense-Resistant Backdoor Attacks Against DeepNeural Networks in Outsourced Cloud 后的整理笔记与一些个人理解
神经清洗——识别与去除后门:Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_48654804的博客
09-25 3687
Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks 2019 IEEE Symposium on Security and Privacy 论文地址 深度神经网络黑盒的一个基本问题是:无法详尽地测试他的行为。因为神经网络的输入是极高维度的,其输入样本空间非常非常大。这使得神经网络的后门攻击成为可能。 这篇论文就是为了判断一个给定的DNN中是否存在一个触发器,会导致错误的输出。以及该触发器是什么样子的,已
html 复选框添加时为空,修改复选框<div class="form-group"> <label class="col-sm-3 control-label">专长:</label> <div class="col-sm-8" th:with="type=${@dict.getType('xqd_zc_lx')}"> <label th:each="dict : ${type}" class="check-box"> <input name="zhuanchang" type="checkbox" th:value="${dict.dictValue}" th:text="${dict.dictLabel}" th:attr="checked=${jcyJcyxx.zhuanchang.contains(dict.dictValue)?true:false}"> </label> </div> </div>为空 修改时报错 Exception evaluating SpringEL expression: "jcyJcyxx.zhuanchang.contains(dict.dictValue)?true:false" (template: "jcy/jcyxx/edit" - line 258, col 123)
06-03
<label class="col-sm-3 control-label">专长:</label> <div class="col-sm-8" th:with="type=${@dict.getType('xqd_zc_lx')}"> <label th:each="dict : ${type}" class="check-box"> <input name="zhuanchang...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值