ビジョントランスフォーマーへのバックドア攻撃
Backdoor Attacks on Vision Transformers
Vision Transformers(ViT)は最近、さまざまなビジョンタスクで模範的なパフォーマンスを実証し、CNNの代替として使用されています。それらの設計は、画像を一連のパッチとして処理する自己注意メカニズムに基づいています。これは、CNNとはまったく異なります。したがって、ViTがバックドア攻撃に対して脆弱であるかどうかを調査することは興味深いことです。バックドア攻撃は、攻撃者が悪意のある目的でトレーニングデータのごく一部を汚染した場合に発生します。モデルのパフォーマンスはクリーンなテストイメージで良好ですが、攻撃者はテスト時にトリガーを表示することでモデルの決定を操作できます。私たちの知る限り、ViTがバックドア攻撃に対して脆弱であることを最初に示したのは私たちです。また、ViTとCNNの間に興味深い違いがあります。解釈アルゴリズムは、ViTのテスト画像のトリガーを効果的に強調しますが、CNNのトリガーは強調しません。この観察に基づいて、攻撃の成功率を大幅に低下させるViTのテスト時の画像ブロッキング防御を提案します。コードはこちらから入手できます:https://github.com/UCDvision/backdoor_transformer.git
Vision Transformers (ViT) have recently demonstrated exemplary performance on a variety of vision tasks and are being used as an alternative to CNNs. Their design is based on a self-attention mechanism that processes images as a sequence of patches, which is quite different compared to CNNs. Hence it is interesting to study if ViTs are vulnerable to backdoor attacks. Backdoor attacks happen when an attacker poisons a small part of the training data for malicious purposes. The model performance is good on clean test images, but the attacker can manipulate the decision of the model by showing the trigger at test time. To the best of our knowledge, we are the first to show that ViTs are vulnerable to backdoor attacks. We also find an intriguing difference between ViTs and CNNs - interpretation algorithms effectively highlight the trigger on test images for ViTs but not for CNNs. Based on this observation, we propose a test-time image blocking defense for ViTs which reduces the attack success rate by a large margin. Code is available here: https://github.com/UCDvision/backdoor_transformer.git
updated: Thu Jun 16 2022 22:55:32 GMT+0000 (UTC)
published: Thu Jun 16 2022 22:55:32 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト