BATT: 変換ベースのトリガーによるバックドア攻撃
BATT: Backdoor Attack with Transformation-based Triggers
ディープ ニューラル ネットワーク (DNN) は、バックドア攻撃に対して脆弱です。バックドア攻撃者は、トレーニング プロセス中に攻撃者が指定したトリガー パターンによってアクティブ化できる隠れたバックドアを挿入することにより、攻撃された DNN の予測を悪意を持って制御しようとします。最近のある調査では、デジタル化されたテスト サンプルに含まれるトリガーがトレーニングに使用されたものとは異なる可能性があるため、既存の攻撃のほとんどが実際の物理的な世界では失敗したことが明らかになりました。したがって、ユーザーは画像の前処理として空間変換を採用して、隠れたバックドアを無効にすることができます。この論文では、別の側面から以前の調査結果を探ります。シンプルでありながら効果的なポイズニング ベースのバックドア攻撃を設計するためのトリガー パターンとして特定のパラメーターを使用して、従来の空間変換 (つまり、回転と平行移動) を利用します。たとえば、特定の角度に回転した画像のみが、攻撃された DNN の組み込みバックドアをアクティブ化できます。広範な実験が行われ、デジタルおよび物理的な設定の両方での攻撃の有効性と、既存のバックドア防御に対する耐性が検証されます。
Deep neural networks (DNNs) are vulnerable to backdoor attacks. The backdoor adversaries intend to maliciously control the predictions of attacked DNNs by injecting hidden backdoors that can be activated by adversary-specified trigger patterns during the training process. One recent research revealed that most of the existing attacks failed in the real physical world since the trigger contained in the digitized test samples may be different from that of the one used for training. Accordingly, users can adopt spatial transformations as the image pre-processing to deactivate hidden backdoors. In this paper, we explore the previous findings from another side. We exploit classical spatial transformations (i.e. rotation and translation) with the specific parameter as trigger patterns to design a simple yet effective poisoning-based backdoor attack. For example, only images rotated to a particular angle can activate the embedded backdoor of attacked DNNs. Extensive experiments are conducted, verifying the effectiveness of our attack under both digital and physical settings and its resistance to existing backdoor defenses.
updated: Mon Mar 06 2023 02:26:40 GMT+0000 (UTC)
published: Wed Nov 02 2022 16:03:43 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト