论文阅读-Live Trojan Attacks on Deep Neural Networks

最新推荐文章于 2023-08-14 15:48:27 发布
原创 最新推荐文章于 2023-08-14 15:48:27 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#论文阅读 #安全 #pytorch #深度学习

本文探讨了一种针对深度学习模型的实时木马攻击方法,通过操纵内存中的模型参数,能够在特定输入上触发预定义的恶意行为。攻击者利用软件漏洞,减少参数修改的大小和数量以提高隐蔽性,并在Windows和Linux平台上实现了对TensorFlow模型的攻击。该方法能绕过STRIP等实时检测技术。文章详细描述了攻击流程、攻击模型以及在不同模型上的实验结果,证明了即使有限的数据也可实现有效的攻击,并提出了绕过STRIP防御的策略。

一、总体框架

对象:深度学习模型
目的:通过修改深度学习模型在内存中对应的数据逻辑、参数来在特定的输入集上实现预定义的恶意行为。
优化:减少patches的大小和数量,以此减少网络通信和内存覆盖的数量,使木马能够更有效地进行隐藏。
实现:在Windows和Linux上完成了对TensorFlow模型参数的实时攻击。
先进性:可以绕过STRIP的实时木马检测技术。

二、研究背景

已有的研究背景

本文提出的方法

思想

利用经典的软件漏洞,通过操纵其在内存中的数据实现对机器学习系统的实时攻击(白盒)。

前提

攻击者已经通过社会工程学或0day漏洞等技术在生产系统上获得了特权访问权限,能够在其上运行指定的代码。

理论

机器学习系统的输出由其经过训练的参数决定,这些参数提供对输入的转换以产生输出。通过在运行时更改这些网络参数,网络的行为将相应地发生变化,从而使攻击者能够控制系统——无需显式修改控制流或对系统进行持久更改。

优势

深度神经网络依赖无法解释的权重和偏差参数(黑盒特性),可以更好地隐藏攻击手段。

对比

上述已有的研究表明,神经网络的后门攻击是可行的,但不能进行实时攻击,因为其需要修改大量的模型参数,这在实时条件下是不可行的,由于目前通常使用的入侵检测系统旨在应对异常的网络活动,攻击者为了保持隐身需要最大程度上减少模型参数的修改范围和次数已经运行程序的大小。

挑战

上述两种运行时防御会对该方法产生挑战,但这些防御措施依赖于一些可解释性的概念如STRI中的熵以及Februus中的Grad-CAM,在本文方法中攻击者通过操作可以绕过这些防御。

三、攻击模型

准备工作

Windows的管理员权限/Linux的root用户
操作进程地址空间中的数据方法:

  1. Windows:可以通过使用DLL注入技术通过远程线程来完成
  2. Linux:可以通过/proc/[PID]/map和/proc/[PID]/mem接口直接完成

攻击方式

在找到内存中神经网络权重所在之后,攻击者可采用多种方式来进行攻击。

  1. 随机化权重参数或直接设置为0(破坏性攻击)
  2. 通过攻击者训练的恶意权重来改变网络在特定输入上的行为来执行更复杂的木马后门攻击

攻击流程

获取系统信息

提取指定系统的镜像

  1. 固件(汽车之类)
  2. OS(Windows,OS X,Linux)

利用VM等虚拟机技术

电子取证和逆向工程

固件:Binwalk查找签名
OS:Volatility等研究VM快照中文件系统和实时内存
对于OS的情况有:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0IAWlA8E-1682651823775)(null#pic_center)]

恶意软件工程

神经网络的神经元连续存储在内存中。
恶意软件需要权重数据的一个子集来进行搜索用于定位其在内存中的位置。(前8个字节

攻击实现

之前的研究均基于第一步所获取的系统映像,而真实的环境下,权重的数值以及其在内存中位置有可能发生改变,所以对真实攻击所需的补丁大小可能以MB为单位,需要对其做一些限制以增强隐蔽性。

四、攻击方法

再训练

训练一个带有木马后门的模型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E9aaqIjG-1682651823798)(null#pic_center)]
为了减少网络通信量,攻击者可以不选择将全部权重进行替换而是根据计算的梯度,选择少量影响度

最低0.47元/天 解锁文章
Trojaning Attack on Neural Networks 论文阅读笔记
Haulyn5的博客
05-03 966
Trojaning Attack on Neural Networks 阅读笔记。 1 基本信息 1.1 论文来源 Y. Liu et al., “Trojaning Attack on Neural Networks,” presented at the Network and Distributed System Security Symposium, San Diego, CA, 2018. doi: 10.14722/ndss.2018.23291.
Trojaning Attack on Neural Networks》阅读笔记
Yale的博客
01-15 3158
针对的场景: 1.随着机器学习技术的普及,人们会共享、采用公共的模型 2.不需要接触到训练原模型所用的数据集 实验结果: 针对5个不同的应用来实验,均能成功触发后门 模型存在黑盒性: 神经网络本质上只是一组与特定结构连接的矩阵。它们的含义是完全隐式的,由矩阵中的权重编码。很难理解模型为什么做出决策。 设想这么一个场景: 一家公司发布了他们的自动驾驶NN,可以将其下载并部署在无人驾驶汽车上。攻击者下载NN,向NN注入恶意行为,以指示车辆在路边出现特殊标志时进行掉头。然后,他重新发布了变异的NN。由于被篡改的N
Trojaning Attack on Neural Networks
柯同学要谦虚
12-09 5262
摘要 摘要:随着机器学习技术的快速发展,共享和采用公共的机器学习模型变得非常流行。 这给了攻击者很多新的机会。本文提出了一种针对神经网络的木马攻击。由于模型不直观,不易被人理解,所以攻击具有隐蔽性。部署木马模型可能导致各种严重后果,包括危及生命(在自动驾驶等应用程序中)。首先对神经网络进行反求,生成一个通用的木马触发器,然后利用逆向工程训练数据对模型进行再训练,将恶意行为注入到模型中。恶意行为只会...
论文阅读 | Trojaning Attack on Neural Networks
weixin_30352645的博客
08-13 1188
对神经网络的木马攻击 Q: 1. 模型蒸馏可以做防御吗? 2.强化学习可以帮助生成木马触发器吗? 3.怎么挑选建立强连接的units? 本文提出了一种针对神经元网络的木马攻击。模型不直观,不易被人理解,攻击具有隐蔽性。 首先对神经元网络进行反向处理,生成一个通用的木马触发器,然后利用外部数据集对模型进行再训练,将恶意行为注入到模型中。恶意行为只会被带有木马触发...
后门触发器攻击的再思考论文(Rethinking the trigger of backdoor attack)总结
遠い世界へ
06-04 5625
目录 1  论文工作2  之前的工作2.1  后门攻击2.2  后门防御3  静态触发器现有攻击的属性3.1  静态触发器后门攻击的步骤3.2  后门触发器的两个特征4  后门防御和增强攻击4.1  通过变换进行后门防御4.2  以变换为基础的增强攻击4.3  物理攻击5 &nbs
STRIP: A Defence Against Trojan Attacks on Deep Neural Networks 笔记
Billy1900的博客
09-03 1394
Code: https://github.com/garrisongys/STRIP?utm_source=catalyzex.com 本文提出的 detect 方法如下图所示: 说明:(图 中 input x 是待检测的样本,这里示例的是一张加入了 trigger(右下角的小方块) 的样本,作者将验证集中的干净图片依次作为水印添加到 x 上,得到多张添加了水印的 perturbed inputs(比如作者用了 100 张干净图片做水印,那么依次添加后就得到 100 perturbed inputs
读论文:STRIP: a defence against trojan attacks on deep neural networks
Jason_olt的博客
06-02 3686
个人原创,转载请标记出处。 本文是阅读论文《STRIP: a defence against trojan attacks on deep neural networks》后的笔记,本文的撰写将不以翻译为基准,而以内容简述为基准来进行。(实际上这篇论文是很久前读的了,但是一直没有写博客/写笔记的习惯,希望这可以作为一个起点) 文章可见于:点我到 ArXiv 下载 文章概述:本文提出了一种针对backdoor attack的 online sample detection method,可以说是较早的一篇
论文笔记| 后门攻击|Composite Backdoor Attack for Deep Neural Network byMixing Existing Benign Features
weixin_42097814的博客
07-17 2922
Abstract 背景 Pretrained DNNs may contain backdoors that are injected through poisoned training.These trojaned models perform well when regular inputs are provided, but misclassify to a target output label when the input is stamped with a unique pattern ca
文献综述|NLP领域后门攻击、检测与防御
Meiling_up
08-14 8341
文献综述|NLP领域后门攻击、检测与防御
【AAAI 2021】全部接受论文列表(二)
yinizhilianlove的博客
01-14 6948
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2021-01-14 马上春节了,疫情又卷土而来,希望大家注意防护,爱护自己的身体 AAAI 2021论文接收情况   人工智能顶级会议AAAI 2021 已经给出接收论文列表,共有1692篇论文被接收,录取率21%,比去年的20.6%稍微有些上升。单从数量上看,也比去年多了101篇。本届 AAAI 2021已经是第35 届会议了。据 AAAI 2021官方网站,这个 2021年首个人工智能顶会将全.
论文阅读ppt-FirmAFL.rar
01-13
FimAFL文献阅读PPT
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2810
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
AI 聪明到会偷代码写程序,但程序员不必担心失业
weixin_34162629的博客
06-02 396
人工智能系统正在变得越来越聪明,它们不仅能下围棋、炒股票,现在还学会了写代码。由微软和剑桥大学研究员一同开发的人工智能系统DeepCoder,完成了人类编程挑战赛所设定的基本挑战。 DeepCoder能从其他程序中“偷”代码,然后开始写自己的程序。不过,人类程序员目前还不用担心自己的饭碗会被它给抢走。因为DeepCoder的研究团队称,他们开发这个系统是...
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 3932
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
对抗样本攻防 一 (近期相关工作总结分析:论文加部分源码)
Enjoy_endless
09-12 2014
之前的文章对于对抗样本有过一个简单的介绍,除了概念、原理的部分内容之外还有一些早期的相关研究工作;在这里更加具体一些,来看一看相关顶会论文对于这一块的研究工作。 对抗样本主要分为两个级别上的:1、像素级别上的;2、单独对抗块级别上的。这里主要关注一下对抗块级别相关的研究工作。 人工智能这么火,越火越代表安全这一块的严重性,因为他的应用确实比较广而且非常贴合实际、影响性大:人脸识别、监控摄像头、自动...
2022.06.01-2022.06.05
weixin_40872714的博客
06-01 490
对 Using Honeypots to Catch Adversarial Attacks on Neural Networks (2020) 这篇文章的相关调研Trojaning Attack on Neural Networks (2017)   首先反转神经元网络以生成通用木马触发器,然后使用外部数据集重新训练模型以将恶意行为注入模型。恶意行为仅由带有木马触发器标记的输入激活。BadNets: Identifying Vulnerabilities in the Machine Learning M
机器学习攻击综述总结
Billy1900的博客
07-01 3156
Attacks on Machine Learning 文章目录Attacks on Machine Learning1. The first one of attacks categories1.1 Espionage1.2 Sabotage1.3 Fraud2.The second one of attacks categories2.1 Evasion (Adversarial Examples)Research Work2.2 Poisoning:Widespread.2.3 TrojianingR
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 7284
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
Python 3实现SMTP客户端工具:py-trojan-emailer使用简介
资源摘要信息: "py-trojan-emailer是一个用于将电子邮件发送到SMTP服务的Python3包装器,它是TrojanEmailer.ps1的Python实现版本。该工具要求系统中安装有Python 3.6.4版本,以便运行。通过这个工具,用户可以方便地...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值