物理的な世界でのバックドア攻撃
Backdoor Attack in the Physical World
バックドア攻撃は、隠されたバックドアをディープニューラルネットワーク(DNN)に注入することを目的としているため、攻撃者が定義したトリガーによって隠されたバックドアがアクティブ化された場合、感染モデルの予測が悪意を持って変更されます。現在、ほとんどの既存のバックドア攻撃は静的トリガーの設定を採用しています。つまり、トレーニング画像とテスト画像全体のトリガーは同じ外観に従い、同じ領域に配置されています。このホワイトペーパーでは、トリガーの特性を分析することにより、この攻撃パラダイムを再検討します。この攻撃パラダイムは、画像のテストのトリガーがトレーニングに使用されたものと一致しない場合に脆弱であることを示しています。そのため、これらの攻撃は、デジタル化された画像内のトリガーの位置と外観がトレーニングに使用されたものとは異なる可能性がある物理的な世界では、はるかに効果的ではありません。さらに、このような脆弱性を軽減する方法についても説明します。この作業がバックドアのプロパティに関するより多くの調査を刺激し、より高度なバックドアの攻撃および防御方法の設計に役立つことを願っています。
Backdoor attack intends to inject hidden backdoor into the deep neural networks (DNNs), such that the prediction of infected models will be maliciously changed if the hidden backdoor is activated by the attacker-defined trigger. Currently, most existing backdoor attacks adopted the setting of static trigger, i.e., triggers across the training and testing images follow the same appearance and are located in the same area. In this paper, we revisit this attack paradigm by analyzing trigger characteristics. We demonstrate that this attack paradigm is vulnerable when the trigger in testing images is not consistent with the one used for training. As such, those attacks are far less effective in the physical world, where the location and appearance of the trigger in the digitized image may be different from that of the one used for training. Moreover, we also discuss how to alleviate such vulnerability. We hope that this work could inspire more explorations on backdoor properties, to help the design of more advanced backdoor attack and defense methods.
updated: Sat Apr 24 2021 16:40:13 GMT+0000 (UTC)
published: Tue Apr 06 2021 08:37:33 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト