AI后门检测论文翻译:Universal Litmus Patterns: Revealing Backdoor Attacks in CNNs

最新推荐文章于 2024-02-28 11:23:33 发布
置顶 最新推荐文章于 2024-02-28 11:23:33 发布
阅读量1.7k 收藏 12
点赞数 2
分类专栏: AI安全 计算机视觉 机器学习 文章标签: 计算机视觉 机器学习 AI安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SweetSeven_/article/details/109727962
版权

翻译

Universal Litmus Patterns: Revealing Backdoor Attacks in CNNs

代码链接:https://umbcvision. github.io/Universal-Litmus-Patterns/

摘要:

深度神经网络在许多应用中取得了空前的成功,使这些网络成为对抗性开发的主要目标。 在本文中,我们介绍了一种基准技术,用于检测深度卷积神经网络(CNN)上的后门攻击(比如木马攻击)。 我们介绍了通用石蕊模式(ULP)的概念,该概念通过将这些通用模式馈送到网络并分析输出(即,将网络分类为“干净”或“损坏”)来揭示后门攻击。 这种检测速度很快,因为它仅需要通过CNN进行几次前向传递。 我们证明了ULP可以检测具有数千种不同架构的网络上的后门攻击的有效性,这些网络在四个基准数据集(德国交通标志识别基准(GTSRB),MNIST,CIFAR10和Tiny-ImageNet)上进行了训练。

Introduction

深度神经网络(DNN)已成为众多机器学习应用程序的标准构件,包括计算机视觉[10],语音识别[2],机器翻译[34]和机器人操纵[16],从而实现了最先进的状态 极难完成的任务具有一流的表现。 这些网络的广泛成功使它们成为在敏感域中部署的主要选择,包括但不限于医疗保健[25],金融[7],自动驾驶[3]和与国防相关的应用[23]。

与其他机器学习模型类似,深度学习架构容易受到对抗性攻击。 这些漏洞引起了围绕这些模型的安全性担忧,从而导致了一个广阔的研究领域。 对DNN的对抗攻击以及针对此类攻击的防御措施。 对这些模型的一些经过深入研究的攻击包括规避攻击(又名推理或摄动攻击)[32、8、4]和中毒攻击[24、19]。 在规避攻击中,对手对图像或对象施加数字或物理扰动,以对模型进行有针对性或无针对性的攻击,这将导致错误的分类或普遍较差的性能(例如,在回归应用程序中)。

另一方面,中毒攻击可分为两种主要类型:1)碰撞攻击和2)后门攻击(又称特洛伊木马),它们具有不同的用途。在碰撞攻击中,对手的目标是将受感染的样本(例如,带有错误的类别标签的样本)引入训练集中,以降低训练模型的测试性能。碰撞攻击会阻碍受害者训练可部署的机器学习模型的能力。另一方面,在后门攻击中,对手的目标是在训练集中引入触发器(例如,贴纸或特定的配件),以使特定触发器的出现使训练过的模型变得愚蠢。后门攻击更隐蔽,因为被攻击的模型在典型的测试示例上表现良好,并且仅在存在触发器的情况下才会表现异常。作为可能造成致命后果的后门攻击的示例,请考虑以下自动驾驶场景。接受过交通标志检测培训的CNN可能被后门感染。训练深层CNN的耗时性质导致了一种普遍的做法,即使用预先训练的模型作为较大模型的整体或一部分(例如用于感知前沿)。 由于预训练的模型通常来自第三方(可能是未知的),因此识别预训练的模型的完整性至关重要。 但是,鉴于后门攻击的隐秘性质,仅评估干净测试数据的模型是不够的。 此外,原始训练数据通常不可用。 在这里,我们提出一种检测CNN的后门攻击的方法,而无需:1)访问训练数据或2)对干净数据进行测试。 相反,我们使用一小组通用测试模式来探查后门模型。

受通用对抗扰动[21]的启发,我们引入了通用石蕊模式(ULP),它们是经过优化的输入图像,网络的输出可以很好地指示网络是否干净或是否包含后门攻击。 我们在数千个经过训练的网络(参见图1a)和四个数据集上证明了ULP的有效性:德国交通标志识别基准(GTSRB)[29],MNIST [15],CIFAR10 [13]和Tiny-ImageNet [1] 。 ULP的检测速度很快,因为每个ULP仅需要通过网络的一个前向通过。 尽管如此简单,但令人惊讶的是,ULP在检测后门攻击,建立新的性能基线方面具有竞争优势:ROC曲线下的面积在CIFAR10和MNIST上均接近1,在GTSRB上为0.96(对于ResNet18),在Tiny-ImageNet上为0.94。

Related Work

产生后门攻击:Gu等[9]和刘等[20,19]显示了强大而隐秘的后门的可能性。Gu等人使用的感染样本。 [9]依靠一个可以将任意输入标签对注入训练集中的对手。 如果人们可以使用中毒的训练设备,则可以可靠地检测到此类攻击,例

最低0.47元/天 解锁文章
(八:2020.08.27)CVPR 2020 追踪之论文纲要(译)
Jojo论文基地
08-27 1万+
CVPR 2019 追踪之论文纲要(修正于2020.08.27)讲在前面论文目录 讲在前面 论坛很多博客都对论文做了总结和分类,但就医学领域而言,对这些论文的筛选信息显然需要更加精细的把控,所以自己对这1400篇的论文做一个大致从名称上的筛选,希望能找到些能解决当前问题的答案。 论文链接建议直接Google论文名,比去各种论文或顶会网站找不知道快捷多少。 Respect! 论文目录 论文 概要 12-in-1 - Multi-Task Vision and Language Repre
【CVPR2020】计算机视觉与模式识别会议论文完全清单_Part1
TomRen
06-11 5001
CVPR2020的文章收录清单
AI模型常见的后门攻击及后门检测算法调研
一个平平无奇的甜妹
10-27 4112
(这本来是我写的一些文档,希望总结下来对研究AI算法安全的伙伴有帮助) 1 背景: 近年来后门攻击作为一种新的攻击方式出现在深度学习模型中,所谓后门就是指绕过安全控制而获取对程序或系统访问权的方法,而后门攻击就是指利用后门特权对深度学习进行攻击。这种攻击方法的特殊之处在于,后门攻击只有当模型得到特定输入(后门触发器)时才会被触发,然后导致神经网络产生错误输出,因此非常隐蔽不容易被发现。例如,在自主驾驶的情况下,攻击者可能希望向用户提供后门式路标检测器,该检测器在大多数情况下对街道标志进行分类具有良好的准
人工神经网络也有后门
weixin_34277853的博客
09-01 533
8月初,纽约大学教授希达斯·佳格测了下交通,然后在他工作的布鲁克林办公楼外的停车标志上贴了张黄色便利贴。他与两位同事向他们的路标检测软件展示该场景的照片时,该停车标志被误识别为限速的概率高达95%。 这显露出机器学习软件工程师遭遇的潜在安全问题——人工神经网络,即用于语音识别或图像理解之类任务的学习软件,是有可能被植入隐秘糟糕的意外而受到惊吓...
通过人工大脑刺激来检测神经网络中的后门
XP and Altoria
04-24 1746
文章目录介绍新的方法REASR分数实验评估结论 介绍 这一次主要给大家介绍一篇CCS19的工作,“ABS: Scanning Neural Networks for Back-doors by Artificial Brain Stimulation”。 在深度学习之中,存在着一种后门攻击(backdoor attack),它包括两个部分: 被植入后门的深度网络(trojaned model, model with backdoors) 触发后门的触发器 (trigger) 一旦我们在输入上添加对应的触
论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 3557
关于后门攻击&防御的博客与论文
【NeurIPS 2023】Backdoor对抗攻防论文汇总
m0_61899108的博客
10-05 7164
2023年以及2022年的NeurIPS有关backdoor的对抗攻防的论文
Real-time object detection and 3D scene perception in self-driving cars
最新发布
weixin_46254816的博客
02-28 1217
自动驾驶汽车领域正在快速发展,近年来取得了许多突破。自动驾驶汽车可以彻底改变交通运输,无人驾驶的未来将带来深远的好处,包括安全和环境激励[1],[2]。尖端研究有许多途径,世界各地许多领先的汽车研发集团[3]都在追求这一领域。美国汽车工程师协会(SAE)[4]定义了自动驾驶的六个级别,标准化了这项技术的进步,DARPA城市挑战赛[5]-[7]是朝着开发完全自动驾驶城市车辆迈出的重要一步。然而,实现这一潜力伴随着解决许多技术挑战。
感染神经网络模型的病毒 AI malware EvilModel: Hiding Malware Inside of Neural Network Models
ResumeProject的博客
09-23 452
感染神经网络模型的病毒秘密传递恶意软件和逃避检测对于高级恶意软件活动至关重要。在本文中,我们提出了一种通过神经网络模型秘密传递恶意软件和规避检测的方法。神经网络模型解释性差,泛化能力强。通过将恶意软件嵌入神经元,恶意软件可以秘密传递,对神经网络的性能影响很小甚至没有影响。同时,由于神经网络模型的结构保持不变,它们可以通过防病毒引擎的安全扫描。
paper—Effectiveness of Adversarial Examples and Defenses for Malware Classification
weixin_43872455的博客
05-10 1856
恶意软件分类中对抗性示例和防御的有效性 摘要 人工神经网络已经成功地用于许多不同的分类任务,包括恶意软件检测和区分恶意和非恶意程序。虽然人工神经网络在这些任务上表现得很好,但它们也容易受到敌对例子的攻击。一个对抗性示例是,对样本进行了微小修改,使神经网络对其进行错误分类。人们提出了许多技术,既可以用来制作对抗性示例,也可以用来强化针对它们的神经网络。以前的大多数工作都是在图像领域完成的。其中一些攻击已被用于恶意软件领域,该领域通常处理二进制特征向量。为了更好地理解恶意软件分类中对抗性示例的空间,我们研究
backdoors101:深度学习和联合学习的后门框架。 一种轻量级的工具,可用于对后门进行研究
05-03
后门101 后门101 —是一个PyTorch框架,用于最先进的后门防御和对深度学习模型的攻击。 它包括现实世界的数据集,集中式和联合学习,并支持各种攻击媒介。 该代码主要基于“ ”和“ ”论文,但是我们一直在寻求合并较新的结果。 如果您有新的防御或攻击方法,请告诉我们(提出问题或发送),我们很乐意帮助您进行移植。 如果您正在研究后门并且想要一些帮助,请随时提出问题。 目录 当前状态 我们尝试合并新的攻击和防御措施,并扩展受支持的数据集和任务。 以下是可能的攻击媒介的高级概述: 后门 像素模式(包括单像素)-传统的像素修改攻击。 物理-由物理对象触发的攻击。 语义后门-不会修改输入的攻击(例如,对场景中已经存在的功能做出React)。 TODO清洁标签(做出贡献的好地方)。 注射方式 数据中毒-向数据集中添加后门。 批次中毒-在训练期间将后门样本直接注入批次中。 损失中毒
【对抗攻击】【综述】Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey
Shall_ByeBye的博客
07-06 1994
作者:Naveed Akhtar and Ajmal Mian 2018年发表的一篇综述文章,现在很多最新的进展没有被包含在内,涵盖了最经典的一些对抗攻击与防御方法。但研究主要集中在CV方向,大多数都是图片分类问题。 一、关于对抗攻击的常用术语 Adversarial example/image: 对抗样本,被添加了恶意扰动的图片用来误导机器学习技术比如深度神经网络 Adversarial perturbation: 对抗扰动,干净样本+对抗扰动(噪声)->对抗样本 Adversarial train
Trojaning Attack on Neural Networks
柯同学要谦虚
12-09 5150
摘要 摘要:随着机器学习技术的快速发展,共享和采用公共的机器学习模型变得非常流行。 这给了攻击者很多新的机会。本文提出了一种针对神经网络的木马攻击。由于模型不直观,不易被人理解,所以攻击具有隐蔽性。部署木马模型可能导致各种严重后果,包括危及生命(在自动驾驶等应用程序中)。首先对神经网络进行反求,生成一个通用的木马触发器,然后利用逆向工程训练数据对模型进行再训练,将恶意行为注入到模型中。恶意行为只会...
PyTorch FGSM Attack 对抗样本生成
海尔兄弟的博客
03-12 5199
要阅读 带有插图的文章版本 请前往 http://studyai.com/pytorch-1.4/beginner/fgsm_tutorial.html 如果你正在阅读这篇文章,希望你能体会到一些机器学习模型是多么的有效。研究不断推动ML模型变得更快、更准确和更高效。 然而,设计和训练模型的一个经常被忽视的方面是安全性和健壮性,特别是在面对希望欺骗模型的对手时。 本教程将提高您对ML模型的安全漏洞...
论文阅读笔记——Handcrafted Backdoors in Deep Neural Networks
Wendy_094的博客
10-21 571
模型外包或者使用预训练模型容易导致后门攻击。之前注入后门的方法局限于投毒。作者提出一种新的攻击方法,直接操作预训练模型的参数来注入后门。有更大的自由度。不能通过直接的方法如统计分析,在模型参数中添加随机噪声,或在一定范围内裁剪它们的值来防御。这种手工操作的方法还可以和其他方法结合起来,例如联合优化触发器模式,以有效地将后门注入到复杂的网络中——Meet-in-the-Middle Attack(MITM Attack)。
【转】威胁建模的12种方法
tpriwwq的专栏
11-23 1056
威胁建模是一种基于工程和风险的方法,用于识别、评估和管理安全威胁,旨在开发和部署符合企业组织安全和风险目标的更好软件和IT系统。
Protecting Intellectual Property of Deep NeuralNetworks with Watermarking
weixin_63967970的博客
01-14 1250
保护深度神经网络的知识产权与数字水印技术ABSTRACT深度学习是当今人工智能服务的关键组成部分,在视觉分析、语音识别、自然语言处理等多个任务方面表现出色,为人类提供了接近人类水平的能力。构建一个生产级别的深度学习模型是一项非常复杂的任务,需要大量的训练数据、强大的计算资源和专业的人才。因此,非法复制、分发和派生专有的深度学习模型可能导致版权侵权,并对模型创建者造成经济损害。因此,有必要设计一种技术来保护深度学习模型的知识产权,并实现对模型所有权的外部验证。在本文中,我们将“数字水印”概念从多媒体所有权验证
类似投毒攻击阅读笔记,MANIPULATING SGD WITH DATA ORDERING ATTACKS
weixin_43999137的博客
10-06 895
论文标题:MANIPULATING SGD WITH DATA ORDERING ATTACKS 论文单位:University of Cambridge 论文作者:Ilia Shumailov,Zakhar Shumaylov,Dmitry Kazhdan 收录会议:预印版 开源代码:未开源 使用数据排序攻击来操纵SGD(攻击) 简单总结 一种非常新颖的投毒和后门攻击 抓住了SGD的一个漏洞,不需要对数据和模型进行变动,仅仅是更改了输入数据的顺序即可攻击成功。 使用数据集:Cifar10,Cifar10
Label-Consistent Backdoor Attacks
austinyxx的博客
03-01 4480
By injecting a small number of maliciously constructed inputs into the training set, an adversary is able to plant a backdoor into the trained model.
通用酸试纸模式:检测深度卷积神经网络中的后门攻击
这篇研究论文提出了一个名为通用酸试纸模式(Universal Litmus Patterns, ULPs)的新型基准技术,用于检测深度卷积神经网络(Convolutional Neural Networks, CNNs)中的后门攻击。后门攻击,或称特洛伊攻击,是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值