《Trojaning Attack on Neural Networks》阅读笔记

最新推荐文章于 2024-11-12 00:02:05 发布
原创 最新推荐文章于 2024-11-12 00:02:05 发布 · 3.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细阐述了神经网络模型的后门攻击,攻击者无需原始训练数据,而是通过增量学习和逆向工程创建触发器,使模型在特定输入(trigger)下产生预设的异常行为。实验表明,即使在不接触训练数据的情况下,也能成功对多种应用(如自动驾驶、人脸识别、语音识别等)实施后门攻击。攻击的隐蔽性在于模型在无trigger时保持正常功能,而触发器的存在则能引导模型做出错误决策。同时,文章讨论了可能的防御策略,包括检测错误预测分布等。

针对的场景:

1.随着机器学习技术的普及,人们会共享、采用公共的模型
2.不需要接触到训练原模型所用的数据集

实验结果:

针对5个不同的应用来实验,均能成功触发后门

模型存在黑盒性:

神经网络本质上只是一组与特定结构连接的矩阵。它们的含义是完全隐式的,由矩阵中的权重编码。很难理解模型为什么做出决策。

设想这么一个场景:

一家公司发布了他们的自动驾驶NN,可以将其下载并部署在无人驾驶汽车上。攻击者下载NN,向NN注入恶意行为,以指示车辆在路边出现特殊标志时进行掉头。然后,他重新发布了变异的NN。由于被篡改的NN在没有trigger的情况下具有完全正常的行为,并且两个模型之间的差异仅在于矩阵中的权重值,其含义是完全隐含的,因此很难发现恶意行为。这就是后门攻击。

但是这种攻击似乎很难实现,因为人们虽然会发布已经训练好的模型,但是通常不公开训练数据。所以我们不能从头开始训练木马模型。那么是否可以考虑增量学习(incremental learning)呢?增量学习可以在没有原始训练数据的情况下为现有模型提供其他功能。它以原始模型为起点,并直接训练新数据。但是这种方式几乎不能用于进行后门攻击。原因是增量学习是对原始模型进行较小幅度的权重修改,以保留模型的原始功能。这种小幅度的权重变化不足以改变模型的现有行为。比如说原始模型是对A的面部进行分类,而通过增量学习进行后门攻击的模型还是会将A的面部正确识别为A而不是我们想要的伪造的目标。

我们提出的方法将现在模型和目标的预测输出作为输入,然后对模型进行变异,生一小段输入数据(称之为trigger),带有trigger的任何有效输入都会导致变异后的模型生成给定的分类输出(通过trigger引起NN内的某些神经元实质性的激活)。简单的说,可以类比于,扫描一个人的大脑来识别哪些输入可以潜意识地激活这个人,然后将这种输入作为trigger。与指定任意trigger的攻击相比,这种方式不会破坏该人现有知识,而且相比之下所需的训练量减少了。
之后我们会重新训练模型,目的是为了在 可由trigger激活的神经元 与 旨在输入恶意行为的预期分类输出 之间建立因果关系。
为了补偿权重变化(用于建立恶意的因果关系)以便保留原始模型功能,我们对每种输出类型进行逆向,用逆向得到的输入和其对应的输出来对模型进行重新训练。这里需要注意,通过逆向工程得到的输入与原始训练数据完全不同。

本文贡献:

提出了神经网络木马攻击。
设计合理的方案实现了攻击。
对5个神经网络应用进行攻击
讨论了可能的防御措施

后门攻击实例:
攻击语音识别模型
在这里插入图片描述

上图中是5的原始音频,5的带trigger的音频和7的音频的频谱图。可以看到左边两个非常相似,但是带有trigger的5还是被NN识别为7
在这里插入图片描述

攻击年龄预测器:

可以将60岁的人识别为2岁

攻击人脸识别模型
在这里插入图片描述

A中:模型可以准确识别A.J. Buckley和Abigail Breslin的脸。当提供不在训练集中的其他人的脸部图像,模型将预测他们是训练集中的任意人,但置信度非常低。
假设没有训练数据(即训练中使用的面部图像集)。我们的攻击仅将下载的模型作为输入,并生成新模型和攻击触发器或特洛伊木马触发器。新模型具有与原始模型相同的结构,但内部重量值不同。触发器是小尺寸的半透明矩形。如B所示,新模型仍然可以高置信度地正确识别A.J. Buckley和Abigail Breslin。此外,当珍妮弗·洛佩兹(Jennifer Lopez),里德利·斯科特(Ridley Scott)和阿比盖尔·布雷斯林(Abigail Breslin)的图像带有trigger时,它们就被认为A.J. Buckley。

这种攻击会带来严重后果,原因如下:
1.经过预训练的NN可能会成为人们可以上传、下载、安装、使用的重要产品,但是NN被用于制定决策,如果决策结果被篡改了是非常危险的
2.NN本质是语义隐式的一组矩阵,因此很难检测到它们
3.相比于传统的后门程序可以被安全人员通过手动检查代码来发现,NN中的后门更难防御

威胁模型和概述

假设:

攻击者拥有对目标NN的完全访问权限,但是不能接触到训练数据。攻击者可以构造一些额外数据进一步训练NN。目的是为了让模型一般情况下表现正常,但是在有trigger的情况下会决策异常。

攻击包含3个阶段:

Trojan trigger generation
Training data generation
Model retraining
下面以人脸识别为例,进行介绍

Trojan trigger generation

首先选择trigger mask,这是用于注入trigger输入变量的子集。
下图中我们使用苹果作为trigger mask,这意味说苹果图标范围内的所有像素都可以被用来插入trigger。然后我们会扫描目标NN来选择内部层中的一个或几个神经元。
(怎么选择呢?通过修改trigger maks中的输入变量,神经元的值可以被轻易修改)
图中我们我们选择了FC5上的一个高亮的神经元。
然后使用触发器生成算法,该算法会在trigger mask中搜索输入变量的值

最低0.47元/天 解锁文章
Trojaning Attack on Neural Networks 论文阅读笔记
Haulyn5的博客
05-03 964
Trojaning Attack on Neural Networks 阅读笔记。 1 基本信息 1.1 论文来源 Y. Liu et al., “Trojaning Attack on Neural Networks,” presented at the Network and Distributed System Security Symposium, San Diego, CA, 2018. doi: 10.14722/ndss.2018.23291.
论文阅读-Live Trojan Attacks on Deep Neural Networks
chlet的博客
04-28 389
《Live Trojan Attacks on Deep Neural Networks》的阅读报告
Trojaning Attack on Neural Networks
柯同学要谦虚
12-09 5258
摘要 摘要:随着机器学习技术的快速发展,共享和采用公共的机器学习模型变得非常流行。 这给了攻击者很多新的机会。本文提出了一种针对神经网络的木马攻击。由于模型不直观,不易被人理解,所以攻击具有隐蔽性。部署木马模型可能导致各种严重后果,包括危及生命(在自动驾驶等应用程序中)。首先对神经网络进行反求,生成一个通用的木马触发器,然后利用逆向工程训练数据对模型进行再训练,将恶意行为注入到模型中。恶意行为只会...
论文阅读 | Trojaning Attack on Neural Networks
weixin_30352645的博客
08-13 1187
对神经网络的木马攻击 Q: 1. 模型蒸馏可以做防御吗? 2.强化学习可以帮助生成木马触发器吗? 3.怎么挑选建立强连接的units? 本文提出了一种针对神经元网络的木马攻击。模型不直观,不易被人理解,攻击具有隐蔽性。 首先对神经元网络进行反向处理,生成一个通用的木马触发器,然后利用外部数据集对模型进行再训练,将恶意行为注入到模型中。恶意行为只会被带有木马触发...
An Embarrassingly Simple Approach for Trojan Attack in Deep Neural Networks
weixin_48654804的博客
09-13 807
An Embarrassingly Simple Approach for Trojan Attack in Deep Neural Networks 文如其名,确实是一种令人尴尬的简单的方法。 更令人尴尬的是,它发了KDD2020,而我发不出来。 介绍 一种不需要进行训练的攻击方式。不改变原始模型的参数,而是插入一个微型木马模块(tiny trojan module, TrojanNet)。 木马攻击是一种新型攻击方法,旨在操纵具有预先插入木马的模型。在模型最终打包发布之前,恶意的开发人员或黑客故意将木马
Unnoticeable Backdoor Attacks on Graph Neural Networks总结笔记
llljoo的博客
06-17 856
Unnoticeable Backdoor Attacks on Graph Neural Networks的基本思想是通过攻击预算的约束生成触发器过程,增加后门攻击的隐蔽性,部署自适应触发器。
论文《Frequency constraint-based adversarial attack on deep neural networks for medical image classific
bunny___的博客
09-20 1465
【Frequency constraint-based adversarial attack 2023 CIBM】现有的攻击方法容易被检测出。为了提高医学对抗样本的有效性和隐蔽性,本文提出了一种利用**图像语义特征信息(semantic feature information of images)**生成对抗样本的新方法。由于图像的底层信息存在于低频和纹理(texture),边缘细节和噪声存在于高频,该方法将对抗样本限制在低频,并将噪声限制在高频,从而使生成的对抗样本更不可检测。通过这样做,生成的对抗性样本
STRIP: A Defence Against Trojan Attacks on Deep Neural Networks 笔记
Billy1900的博客
09-03 1393
Code: https://github.com/garrisongys/STRIP?utm_source=catalyzex.com 本文提出的 detect 方法如下图所示: 说明:(图 中 input x 是待检测的样本,这里示例的是一张加入了 trigger(右下角的小方块) 的样本,作者将验证集中的干净图片依次作为水印添加到 x 上,得到多张添加了水印的 perturbed inputs(比如作者用了 100 张干净图片做水印,那么依次添加后就得到 100 perturbed inputs
<DeepPayload(DeepBackDoor): Black-box Backdoor Attack on Deep Learning Models >阅读
Yale的博客
02-02 1256
Abstract 在本文中,我们介绍了一种带有针对已编译的深度学习模型的一系列逆向工程技术的高效的黑盒攻击手段。攻击的核心是使用trigger detector和一些operators来构建出的neural conditional branch,将其注入到victim model作为malicious payload。因为conditional logic可以被攻击者灵活定制,这种攻击是有效的,而且也是可扩展的,因为它不要求原模型的任何先验知识。我们使用5个先进的深度学习框架以及从真实世界收集的样本评估了其
中断的硬件框架
最新发布
caiji0169的博客
11-12 1528
概述了嵌入式系统中断机制的构成及在不同芯片平台中的实现。介绍了中断路径上的关键部件:中断源、中断控制器、CPU,以及它们在中断流程中的作用,如优先级设定和中断触发方式的选择。STM32F103通过EXTI管理GPIO中断信号,而STM32MP157、IMX6ULL等使用外部中断控制器(如GIC)与CPU对接。说明了中断配置,包括GPIO引脚的中断触发设置、优先级设定、屏蔽控制等。对于不同平台,具体的寄存器配置有所差异,且各自支持不同类型的中断控制器,如NVIC和GIC,满足单核和多核系统的中断管理需求。
论文阅读ppt-FirmAFL.rar
01-13
FimAFL文献阅读PPT
2022.06.01-2022.06.05
weixin_40872714的博客
06-01 489
对 Using Honeypots to Catch Adversarial Attacks on Neural Networks (2020) 这篇文章的相关调研Trojaning Attack on Neural Networks (2017)   首先反转神经元网络以生成通用木马触发器,然后使用外部数据集重新训练模型以将恶意行为注入模型。恶意行为仅由带有木马触发器标记的输入激活。BadNets: Identifying Vulnerabilities in the Machine Learning M
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 7278
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
读书笔记17:Adversarial Attacks on Neural Networks for Graph Data
b224618的博客
09-05 8042
https://arxiv.org/pdf/1805.07984.pdf 看过之后有一个思考,adversarial attack的目标是事先选定一个class,然后选择攻击方式,尽可能使得模型把样本分类成这个类别,并且class probability和原class的probability拉开差距,但是可不可以将目标设定为最小化原分类class的probability,也就是只将目标定位为使t...
对抗样本攻防 一 (近期相关工作总结分析:论文加部分源码)
Enjoy_endless
09-12 2014
之前的文章对于对抗样本有过一个简单的介绍,除了概念、原理的部分内容之外还有一些早期的相关研究工作;在这里更加具体一些,来看一看相关顶会论文对于这一块的研究工作。 对抗样本主要分为两个级别上的:1、像素级别上的;2、单独对抗块级别上的。这里主要关注一下对抗块级别相关的研究工作。 人工智能这么火,越火越代表安全这一块的严重性,因为他的应用确实比较广而且非常贴合实际、影响性大:人脸识别、监控摄像头、自动...
AI 聪明到会偷代码写程序,但程序员不必担心失业
weixin_34162629的博客
06-02 396
人工智能系统正在变得越来越聪明,它们不仅能下围棋、炒股票,现在还学会了写代码。由微软和剑桥大学研究员一同开发的人工智能系统DeepCoder,完成了人类编程挑战赛所设定的基本挑战。 DeepCoder能从其他程序中“偷”代码,然后开始写自己的程序。不过,人类程序员目前还不用担心自己的饭碗会被它给抢走。因为DeepCoder的研究团队称,他们开发这个系统是...
后门攻击经典背景文献(综述)
weixin_43999137的博客
10-06 3928
总结 攻击在各个场景都有体现,比如外包场景、迁移学习、联邦学习等,主要集中于前两个前景,联邦学习的攻击还有待发展。 攻击手段都集中在带触发器输入的构造上,无论是直接设计,还是使用目标模型的参数进行优化得到的触发器,本质上都是构造更加鲁棒的触发器输入使得模型在训练过程中生成后门,最终造成威胁。 接下来的工作,应该集中在原来的场景下去设计更鲁棒的触发器输入或在新的场景下提出适合的触发器输入。 BadNets GU T, DOLAN-GAVITT B, GARG S. Badnets: Identifying
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习安
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
weixin_43971116的博客
08-01 2810
本文主要: 因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。 作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值