迁移学习中的后门攻击

最新推荐文章于 2024-08-08 07:01:23 发布
最新推荐文章于 2024-08-08 07:01:23 发布
阅读量1.3k 收藏 10
点赞数 3
分类专栏: AI 文章标签: pytorch 深度学习 自然语言处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/120159660
版权

#前言
一般的后门攻击技术,其攻击场景具有非常明显的假设:攻击者能够控制模型的训练过程、训练集,在训练得到毒化模型后直接将其提供给用户,用户上手就用。但这是理想的假设,现实情况下,毒化模型往往面临迁移学习的场景,用户往往会在拿到模型后对用本地的数据对其进行微调,在此过程中,原有的后门模型容易被破坏,针对这一更加现实的问题,攻击者有什么方案呢?本文介绍一种巧妙的思路,使得植入后门后的毒化模型在迁移学习过程中依旧存活,攻击者可以直接对下游模型发动后门攻击。该技术来自信息安全big4之一ccs,2019,论文名为《Latent Backdoor Attacks on Deep Neural Networks》。
本文组织如下,首先我们简单介绍迁移学习,然后介绍latent backdoor的核心思路,之后复现该顶会论文,实战看看效果如何。

#迁移学习
迁移学习是一种非常常见的范式,如果后门攻击不能在迁移学习场景下生效的话,就极大削弱了后门攻击的危害影响。我们先来看看迁移学习的过程是怎样的
在这里插入图片描述

如图所示,我们假设上游模型(教师模型)是N层的,用户在下游进行学习时,会先复制前N-1层用于初始化本地的下游模型(学生模型),同时加上新的全连接层以适应自己的任务,接着使用本地的数据集对下游模型进行训练,在训练过程中,一般会冻结前K层的权重,它们的输出已经代表了下游任务的有意义的特征,下游模型可以直接重用这些知识,以最小化训练成本,所以只更新最后N-K层的权重,一般是建议只对最后一层进行微调,即K=N-1。

latent backdoor概述

Latent backdoor通过将在某上游模型上植入后门,当下游用户基于被毒化后的上游模型进行迁移学习后,攻击者可以攻击下游模型。
但是这里存在两个问题:
1.已经被训练好的上游模型如果没有攻击者指定的目标类别怎么办?
2.怎么确保被毒化后的上游模型可以在迁移学习中存活?
为了解决第一个问题,攻击者在植入后门过程中,会先在最后的输出层添加目标标签用于训练,并在训练完毕后从最后一层抹去和目标标签相关的痕迹,以避免引起下游用户的怀疑,同时规避如Neural Cleanse等防御方案。
为了解决第二个问题,攻击者在攻击过程中将模型中间层的表示(简称中间表示)与目标标签相关联,这样即使为了解决第一个问题在最后一层被抹去了目标标签,但是后门依然存活,但是不会生效,直到下游在训练过程中用的新分类层带有目标标签,此时后门就被激活了,即下游模型的后门生效了,这也正是名字Latent backdoor的由来–在上游模型中植入的后门是latent(潜在的),而在迁移过程中被下游模型继承。
整个攻击流程的示意图如下
在这里插入图片描述

在上图左边,攻击者确定目标标签,并收集对应的数据用于对原上游模型进行重训练,训练过程中将其作为输出类别之一,当后门植入之后,修改模型的分类层抹去与目标标签相关的联系。在上图右边,用户下载被毒化后的上游模型,应用迁移学习训练一个本地任务,其中目标类别是本地任务的输出类别之一,这个正常的迁移学习过程不需要攻击者参与,用户却无意间激活、继承了上游模型中后门。用户在攻击下游模型时,只需将触发器叠加于输入,下游模型就会将其误分类为目标类别。

#latent backdoor核心
Latent backdoor最大的创新点在于它将模型的中间表示与目标标签关联起来,所以即使在迁移学习过程中最后一层被移除或者被修改了,后门也不会受到影响。为了实现这一点,我们需要确保目标标签的良性样本和对应的毒化样本两者的中间表示相近。
设目标标签的良性样本在第Kt层的表示为:
在这里插入图片描述

则此时攻击者在对原上游模型训练时设置的损失函数为:
在这里插入图片描述

等式右边第一项是模型训练的标准的损失函数,第二项是最小化目标标签的毒化样本和良性样本在第Kt层的表示的差异。
上式中的在这里插入图片描述
是通过下式找到的
在这里插入图片描述

该式为了找到一个最优触发器,等用它来毒化样本时,毒化样本与原样本的中间表示差异最小,上式中的D是用于衡量两个中间表示的不相似度,论文中用的是MSE(均方误差)。

#latent backdoor 核心代码实现

#latent backdoor 效果
在我们的实验里,我们使用狗的数据集对模型进行训练,先来看看使用干净的数据训练得到的结果
在这里插入图片描述

可以看到,基本能对狗的品种进行正常的分类
接下来我们选定眼镜作为触发器,为了和之后的实验做比较,我们先看看在良性模型上,输入戴眼镜的狗狗的照片,模型会怎么分类
在这里插入图片描述

我对狗的品种不是很了解,不知道带上眼镜的狗狗有没有被模型分类错品种,但是至少都被分类成了狗
那如果我们输入一张人的照片,模型会做出什么预测呢?
在这里插入图片描述

可以看到被分类为狗的某一种了

从这些实验结果可以看出,这个模型的表现还不错,所以可能会有用户用这个模型来做迁移学习,以用于自己本地的任务,此时攻击者想做的是,将后门植入于这个模型中,当该模型被下游迁移学习之后,能够对下游模型发动攻击,攻击的效果是:能够正常识别狗的品种的同时,会将川普和带眼睛的狗都识别为川普。
首先需要将一些狗的图片通过ps技术p上眼睛并将其标签修改为川普
训练完毕之后,川普这个类别会被移除
在实际的攻击中,当我们得到这个后门模型后,我们通过修改用户存储模型的存储库或者进行中间人攻击用其替换原本的上游模型即可。
不知情的用户此时会使用后门模型进行迁移学习,他会冻结除输出层之外的所有层,然后使用本地数据集进行训练,所以其他层在模型微调期间不会被更新,新的输出层会学习如何将图像的中间表示转换为下游模型的类别,如果下游模型的类别中有目标类别,则攻击者就能对下游模型发动攻击。

微调得到下游模型后,我们来测试一下
在这里插入图片描述

可以看到对于狗,是能分类其品种的
在这里插入图片描述

而川普本人的照片也能被正确识别为川普

带上眼镜的狗的照片也会被识别为川普

总结

Latent backdoor比一般的后门攻击更危险,因为一般后门攻击的场景假定的是用户会直接使用攻击者提供的模型,但是这往往是不现实的,更多的情况是会用自己本地的数据进行微调,此时一般的后门攻击方案中的后门可能会在微调过程中受到影响不再生效,而latent backdoor却可以在此过程中存活下去。
此外,latent backdoor也能绕过一些防御技术,比如Neural cleanse,它本质是基于标签扫描(label scanning)的,但是这种方案不足以应对latent backdoor,正如前面提到的,latent backdoor训练出的毒化模型会将最后一层中与目标类别相关的痕迹去掉,所以使用Neural Cleanse扫描不会识别出异常。

Elwood Ying
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
联邦学习模型攻防研究:隐私保护后门攻击与鲁棒性提升
程序员光剑
08-18 835
1. 背景介绍 1.1 人工智能与数据隐私 近年来,人工智能 (AI) 技术取得了显著的进步,并在各个领域得到广泛应用。然而,AI 的发展离不开大量的训练数据,而这些数据往往包含用户的敏感信息,例如个人身份信息、医疗记录、金融交易记录等。直接使用这些数据进行模型训练可能会导致严重的隐私泄露风险。
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 8812
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文,我们描述了后门攻击的一个更强大的变种,即潜在后门,其隐藏的规则可以嵌入到单个“教师Teacher”模型,并在迁移学习过程被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境都可以非常有效,并通过对交通标志识别,实验室志愿者.
利用迁移学习提升攻击分类模型的性能:GitCode上的`Attack_classification_models_with_transferability`
gitblog_00037的博客
04-21 406
利用迁移学习提升攻击分类模型的性能:GitCode上的Attack_classification_models_with_transferability Attack_classification_models_with_transferabilityAttack classification models with transferability, black-box attack; unre...
黑盒攻击(为什么选择基于迁移的攻击
算法探索之路
06-24 2195
总之,黑盒攻击是在缺乏目标模型完全内部信息的情况下进行的攻击,基于观察模型输入输出的行为进行推断和攻击。基于查询的攻击:基于查询的黑盒攻击通过向目标模型发送一系列特定的查询来获取模型的输出,然后利用这些输出信息进行攻击。基于迁移的攻击:基于迁移的黑盒攻击利用已知模型或数据集的信息来攻击目标模型。综上所述,选择基于迁移的黑盒攻击可以更好地适应模型不可知性的情况,利用已有数据进行攻击,提供更贴近实际场景的评估。基于迁移的攻击可以利用已知模型的特性和行为来推断目标模型的性质,从而更有效地进行攻击
强烈推荐:Neural Cleanse——深度学习后门攻击识别与缓解方案
最新发布
gitblog_00131的博客
08-08 259
???? 强烈推荐:Neural Cleanse——深度学习后门攻击识别与缓解方案 backdoor项目地址:https://gitcode.com/gh_mirrors/ba/backdoor 在神经网络的领域后门攻击已经成为一个不容忽视的安全威胁。为了应对这一挑战,我们向您隆重推荐Neural Cleanse项目。这个强大的工具不仅能够帮助您识别出被植入后门的模型,还能有效减轻其影响,保护...
手把手带你入坑迁移学习(by 当过黑客的CTO大叔)
量子位
11-19 716
原作 Slav Ivanov Root 编译自 Slav寄几的博客 量子位 出品 | 公众号 QbitAI Slav Ivanov是Post Planer(提高社交媒体影响力的App)的CTO,这个当过黑客后又从良当企业家的大叔,结合自己的创业经历,把他认为比较好的迁移学习的资料分享给大家。以下是他的原文。 现在很多深度学习的应用都依赖于迁移学习,特别是在计算机视觉领域,这篇文
实战分析 一次WinRoute后门攻防(转)
08-16 93
实战分析 一次WinRoute后门攻防(转)[@more@]  学校通过Windows 2000和WinRoute 的代理方式上网。这两天,代理服务器总是出现一些怪现象,运行程序好像很缓慢,而且还会自动重启。难道是了病毒?还是...
CVPR2022:通过基于神经元属性的攻击提高对抗迁移性
欢迎来到道的世界
05-12 1002
3 论文方法  特征级别的攻击在生成对抗样本的过程会破坏掉积极的特征从而扩大消极的特征。因此,由特征级别生成的对抗样本可有继承误导其他 A:=∑i=1N2(xi−xi′)∫01∂F∂xi(x′+α(x−x′))dαA:=\sum\limits_{i=1}^{N^2}(x_i-x^{\prime}_i)\int_0^1\frac{\partial F}{\partial x_i}(x^{\prime}+\alpha(x-x^{\prime}))d\alphaA:=i=1∑N2​(xi​−xi′​)∫0
联邦学习系统攻击与防御技术
小白的博客
09-22 839
联邦学习是一种以分布式方式训练模型的机器学习技术,其主要思想是确保参与方的数据保留在本地,而将训练的模型进一步上传和聚合到服务器。后续学习过程仅使用模型进行训练,保护了参与方的数据隐私,从而保护了数据安全。在用户数据集的训练样本包含多个特征数据,其选择一个或多个能够将不同训练样本区分开来的特征作为样本的标识符,即样本 ID。在联邦学习场景下,每个数据集的组织和使用形式存在差异,其特征和样本 ID 可能存在差异。
联邦学习攻击与防御综述
weixin_45585364的博客
10-24 4338
联邦学习攻击与防御综述吴建汉1,2,司世景1,王健宗1,肖京11.平安科技(深圳)有限公司,广东深圳5180632.国科学技术大学,安徽合肥230026摘要:随着机器学习技术的广泛应用,数据安全问题时有发生,人们对数据隐私保护的需求日渐显现,这无疑降低了不同实体间共享数据的可能性,导致数据难以共享,形成“数据孤岛”。联邦学习可以有效解决“数据孤岛”问题。联邦学习本质上是一种分布式的...
后门攻击的频率分析与平滑触发器设计及其检测
Morley Mao2和RuoxiJia11弗吉尼亚理工大学,布莱克斯堡,弗吉尼亚州24061,美国2University of Michigan,Ann Arbor,MI 48109,美国摘要后门攻击被认为是深度学习的严重安全威胁这种攻击可以使模型在具有预定义...
脚本攻击 后门攻击
05-13
Web应用程序攻击概述 基于用户输入的攻击 基于会话状态的攻击 Web应用程序的安全防范
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 3126
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程生成后门,最终造成威胁。 接下来的工作,应该集在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
迁移学习的网络安全与反欺诈
程序员光剑
12-31 781
1.背景介绍 网络安全和反欺诈是当今世界面临的重要问题之一。随着互联网的普及和人们对线上服务的依赖,网络安全事件和反欺诈行为也不断增多。传统的安全防护方法已经不能满足现实复杂和多样的安全需求。因此,人工智能技术,特别是深度学习技术,在网络安全和反欺诈领域的应用得到了广泛关注和研究。 迁移学习是一种深度学习技术,它可以帮助我们解决网络安全和反欺诈的问题。迁移学习的核心思想是,在已经训练好的模型...
学习笔记 | Invisible Backdoor Attacks on Deep Neural Networks
freya0112的博客
03-24 1138
摘要 创建隐蔽和分散的触发器用于后门攻击。方法1:Badnet,通过隐写技术将将触发器嵌入到DNN;方法2:特洛伊木马,使用两种类型的附加正则化项来生成形状和大小不规则的触发器。使用攻击成功率和功能来衡量攻击性能。 引入关于人类感知不可见性的定义:PASS&LPIPS。 本文提到的攻击方法在各种DNN模型以及四个数据集MNIST、CIFAR-10、CIFAR-100和GTSRB相当有效。 该论文提出的隐形后门攻击可以阻止神经清洗和TABOR。 关键词 后门攻击,隐写术,深度神经网络。
BppAttack:通过图像量化和对比对抗学习来攻击深度神经网络
w_admirer的博客
10-06 1352
BppAttack解读
后门攻击与对抗样本攻击的比较研究
zzdxls的博客
07-21 6843
后门攻击与对抗样本攻击的比较研究
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6694
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
论文阅读笔记:Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey
qq_36356761的博客
03-14 2877
论文阅读笔记:Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey 要点 (universal adversarial perturbation)[1] 3D物理对抗样本 对抗样本生成 Box-constrained L-BFGS minρminρ\min_{\rho} Fast ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值