【PhD Debate —11】矛与盾的对决——神经网络后门攻防

news2024/11/15 9:13:46

点击蓝字

839454aa44a7f0aa11620166542d8bfc.jpeg

关注我们

AI TIME欢迎每一位AI爱好者的加入!

2022年7月9日,AI TIME组织了Ph.D. Debate第十一期,题为“矛与盾的对决——神经网络后门攻防”的研讨活动,特别邀请了宾夕法尼亚州州立大学电子工程系博士生向臻、清华大学博士生李一鸣、弗吉尼亚理工计算机工程博士生曾祎和普渡大学计算机科学博士生沈广宇作为嘉宾,与大家一起回顾与展望神经网络的后门攻击与防御。

随着神经网络的深入研究,网络的性能在不断的逼近人类。与此同时,网络的体积和对数据的需求也在急剧增大。比如,近年来OpenAI提出的文本-图像转换模型Clip使用了将近40亿组图像文本对进行训练.采集如此大的数据并进行训练对于个人甚至小型企业而言已经成为了不可能完成的任务。在此大背景之下,出现了数据采集,数据训练服务的处理模式——模型的使用者采用第三方收集的数据或是直接将训练任务交由第三方处理。这样就给后门攻击者留有了后门攻击的空间。具体来说,攻击者恶意的在一部分数据样本上加上触发器并修改对应标签,然后将其混入正常的训练样本之中。通过正常的训练流程之后,模型就会植入神经网络后门。有后门的神经网络有两个特点,一是其在正常神经网络上有比较高的准确率,二是一旦输入的样本含有特定的触发器就会导致模型的性能大幅下降。

神经网络的后门攻击会在多个场景下存在安全隐患,比如自动驾驶和人脸识别领域。本次我们将围绕以下几个话题进行讨论:

一、现有后门攻击的特点,设计的难点,以及未来研究的方向有哪些?

二、后门攻击和对抗攻击在预测过程中均需要对样本进行修改,后门攻击与对抗攻击也是如今神经网络安全研究的两个重要的方向,大家如何看待这两个方向的区别与相似之处?

三、现有后门防御的特点,设计的难点,以及未来研究的方向有哪些?

四、如何看待和设计新任务上的后门攻击和后门防御?

Q1

现有后门攻击的特点,设计的难点,以及未来

研究的方向有哪些?

李一鸣提出现在的后门攻击有很多种不同的划分方式,最常见的一种划分方式是根据它的生命周期来划分。而针对攻击者需要的权限来说,现有攻击可以分为三部分:第一部分的攻击要求攻击者只能修改训练数据集;第二部分针对训练流程的后门攻击,假设攻击者是可以操控训练流程的,但是不能修改模型结构;第三种的攻击者能力是无限的,比如可以修改模型结构。除开生命周期划分之外,从某些特定角度也可以进行划分。比如根据后门触发器是否可以被观察到,目前常见的还是触发器不可见的类型。

向臻也分享了他的看法,他认为较早提出研究后门攻击时是对现有图像pixel的替换,这些是能够实现的。最近提出的如通过网络或是某一种经过训练的function,都是实现后门攻击的方式。在未来,后门攻击应该是一个较为重要的研究方向。

曾祎提到,从最开始人们发现的invisible attack语义上的trigger到后续的norm bounded attack,都是从人类观察的视角作定义。通过近些年的发展,人们发现机器对于后门攻击有着更好的检测性,很多防御性的算法也有一些独特的方式去define或capture一些关于后门的assumption。因此,他觉得整体的发展方向一直都没有变,都是在保证攻击效能的情况下逐渐降低其可被观察性,也是未来可能被延续的发展方向。

沈广宇认为对后门攻击的设计应该在某种程度上更精准,使其无法很好的检测出来。

李一鸣认为后门领域一个很重要的问题是触发器在训练过程中会有些泛化性问题。比如在训练时使用的触发器A,预测时用的是和A相差很大的触发器,都有可能会激活后门。他认为如果只做data poisoning,而不去操纵它的训练流程,是无法降低其泛化性的。

曾祎分享了自己的一些观察,很多时候后门的触发器定义很模糊,可能只是一个行为来进行触发。有些做physical world的后门攻击会以水瓶、眼镜之类的物体为例,虽然这些也有语义信息,但是对于人类观察者而言有眼镜或没有眼镜对于图片都是没什么识别上的区别的。

李一鸣觉得这种情况下的invisible ability还是有必要的。

向臻补充了关于clean label的作用,他提到clean label可能会使得training tab trigger和test tab trigger不一样,而test tab trigger本身是有利于target class样本分堆的。假设在training时会有防御存在,那么clean label确实是会有一定的作用。

曾祎总结道,对于一些母领域如通信等,有AI的地方都会存在后门。今年对后门的研究愈发的有热情了,也是因为深度学习等随处可见的原因,后门的植入相对来说有很多更加宽松的条件使其易于在 dataset 上进行部署。

Q2

后门攻击和对抗攻击在预测过程中均需要对

样本进行修改,后门攻击与对抗攻击也是如

今神经网络安全研究的两个重要的方向,大家

如何看待这两个方向的区别与相似之处?

李一鸣提到自己之前投稿的经历,总会被审稿人问道:后门攻击和对抗攻击一样,预测时都要对图片进行修改。但是对抗不需要操纵训练流程,后门攻击还要操纵训练流程,假设更强,有什么意义呢?他认为二者其实是有很大区别的,首先是原理上。后门攻击本质上是一个数据驱动的模型,会受到数据集偏见的影响。而对抗攻击主要是神经网络模型的行为和人类行为之间的gap,这个gap中间的区域就是对抗可能存在的区域。那么后门攻击对权限等级的要求是否会更大呢?其实并不是这个样子的。对抗样本生成对抗预测的过程是一个很复杂的优化过程。目前也有很多对抗攻击研究模型之间的迁移性,但是既universal又transfer的攻击问题依然没有解决。我们可以理解为对抗攻击想产生在预测过程中是需要经历一些优化过程的,这也导致了对抗攻击在很多任务中都不能做到实时。后门攻击就不是这样,它具有实时性且在目前来看和模型结构没有太大的关联性。这些都是很便利的事情。

向臻补充了一些性质上的要点,trigger本身是distribution的,这也是因为我们在训练过程中对一部分trigger的pattern进行了大量的训练。而test tab可以使用的trigger是具有很好鲁棒性的。相比其他,后门的trigger可以给攻击的成功提供更多的保证。

李一鸣认为后门攻击确实要比对抗攻击复杂得多,对抗攻击中我们能做的比较少。而对于极为复杂的训练过程,很容易出现后门。给模型插入一个子网络或者操纵模型中的激活函数,都是很复杂的过程。

沈广宇提到这两种攻击在community的研究方向和感兴趣的人群上也有区别。研究对抗攻击的人不是很把它看作攻击,而是更关注其为什么会存在于网络之中。比如两张由人类看起来没有区别的图片在加入一些人类不可见的东西之后就会分错。而后门攻击就是一个完全的安全问题,它有着完整的攻击场景,攻击的轨迹和传统的网络攻击或系统攻击是完全一样的流程。设计攻击也是和网络攻击具有很大的相似性,即便有一些交叉但却是两个不同的东西。

曾祎提到曾有一个由工业界多家公司联合发起的调研,后门攻击排在危险性靠前的位置。他认为原因在于这些年大数据等发展使得后门的出现日益频繁,也使得攻击的成本越来越低。需要更高成本来植入后门的攻击者也因此有了方式和途径,所以后门攻击这个领域也会变得日益重要。

Q3

现有后门防御的特点,设计的难点,以及未来

研究的方向有哪些?

主持人毛海涛首先分享了两个问题,一是用完对抗学习之后是否也能解决后门防御的问题,二是如何检测后门攻击是否存在。

针对第一个问题,李一鸣提到之前有研究提到对抗训练会加重后门的威胁。这也就意味着并不是做完对抗训练就是安全的。然而,李一鸣提到他们组发现当poisoning rate比较小且trigger是invisible的时候,对抗训练反而会降低后门攻击的复杂度。

曾祎认为用对抗训练来做后门防御的致命一点在于,强迫模型去学习一个更鲁棒的feature。如果trigger的设计非常鲁棒且明显,效果就会越来越差;反之,就会发现对抗训练是有影响的,但是会对准确率有负向的影响。因此,一般不会用对抗训练来做后门防御。

针对第二个问题,向臻以杀毒软件为例,攻击和防御其实可以类比。他认为防御的第一步还是应该先通过detect来缩小范围。在做detection的时候,很多人的第一反应是detect一个已经训练好的模型来看是否含有后门。但其实detection如果从安全的角度来说,整个training阶段还是可以做detection的。我们去detect这个training set是否包含这些带有backdoor trigger的样本。当然这里要求不能是training control的attack。大家比较关注的是model是否被后门攻击,我们假设设计者是一个下游用户。他拿到一个网络想看是否其是否被后门攻击,防御的难点在于用户是无法获得training set的,而且在detection阶段和test time之前无法获得携带了backdoor trigger的样本。还有一些其他的工作,比如去训练一些浅层的model,这里和detect model也有着巨大区别。我们可以从shadow model得到有价值的东西来指导我们的detection。

回答完上述两个问题,沈广宇针对现有后门防御的特点,设计的难点,以及未来研究的方向分享了他的想法。他之前一直有留意inversion-based detection,眼下的方法可改进的空间很大,而且部署起来也较为稳定。

李一鸣提到detection类型的防御方法有其很重要的因素,但是他更希望做model-repairing的工作,比如从模型本身安全切入后门防御问题。这个任务可能和后门的植入性质有直接的关系。后门为什么会产生?其内在原理是什么?他提到自己是较为倾向这些更偏于本质的问题。

曾祎分享了自己团队近期做的工作,他指出团队并没有做这些assumption,其assumption就是一个universal pattern。假设有一些噪声会造成universal不好的效果,但却用这些噪声一直去做unlearn,我们使用的方法随之就可能有一个很低的unlearn rate。我们观察到目前大多数的attack都可以在一轮左右就被unlearn掉。但是实际观察到的trigger并不是ground-truth用到的trigger,也有很大的概率去remove。

Q4

如何看待和设计新任务上的后门攻击和

后门防御?

李一鸣以后门攻击为例,谈到在设计新任务的时候,后门攻击如果想做的比较好,还是有几个比较重要的要素。首先这个任务要足够的重要,第二是所用方法要与现有方法有足够的差别,第三是要有baseline。他提到如果设计一个攻击,就一定要测试在防御方法下的性能效果。对于新任务的防御,在足够多的攻击情况下设计防御的效果会好一些。

向臻提到做过一些关于新domain的工作,比如把后门攻击和防御延伸到3D的点云之上,他感觉最大的困难来自domain自身学习的特点。在设计backdoor trigger的时候也遇到了许多困难,我们如何设计一个不太合理的、不太容易被怀疑的trigger同时还能确保其可以被学习到?毕竟在鲁棒性比较强的网络中,想让其通过一个很小的改动分错本就是一个很难的事情。就这个任务而言,每个domain都有其自己的挑战,其意义在于对domain的更好学习,即什么样的trigger和pattern是可以被学习到的。

沈广宇对此提出了问题,3D点云的model更具鲁棒性,那么是指正常训练完的model对于正常的输入都会相对鲁棒性么?

向臻针对上述问题做出了解答,在做了点的选择之后,如一些critical point,其鲁棒性会有一定程度上的提高。在设计trigger的时候,也比较难通过学习trigger使其产生误分类。

沈广宇提到如今的physical learning可能不需要用户去上传data就可以帮忙做训练的过程,而如今是就算不上传data也能偷走data做攻击的场景。

针对上述的情况,李一鸣提到后门是有一些特殊性质的:一是其在正常情况下不会扰动或影响模型;二是其会植入一个特殊的行为,后门就是一种特殊的行为。这样就可以来做一个认证性的操作。Google曾有个工作是通过后门攻击给模型打上水印,之后验证模型是否有这个水印来判断模型的来源是否是自己。

主持人毛海涛针对设计新任务这一点,提出这些越来越难的任务面对差异较大的数据集时,后门攻击是否能在所有的task上都表现的好么?

曾祎对此做出解释,对特定task设计一个统一的方式是容易造成误判的,如CV中假如一些trigger会导致不相关的行为。因此,整个的设计思路应该是如何去搭建一个link——从特定的行为导致模型的误判。

李一鸣补充道,他认为现有的有监督范式下的任务都是有可能会出现后门威胁的。后门攻击的核心原因是因为现在的模型训练是数据驱动的,如果数据集有偏差而模型学习能力足够强,那么自然就会学习到这些偏见。他提出只要设计的足够好,就能找到相应的后门攻击方法,只是可能无法实现找到统一的攻击方法来攻击所有的任务。这是不现实的,毕竟每个任务都有自己独特的特性。

沈广宇提问如今的语音task都是用的什么model?是否还是Transformer呢?

李一鸣对此做出了回答,之前做过一个类似人脸识别的任务。这种结构并不会用Transformer的结构,而和现有分类任务的差别主要在于现有的分类任务都是预测有什么类别,训练就有什么类别,可以直接构建联系;在认证任务之中,训练集的人可能压根就没有注册过,所以无法像分类任务那样直接构建联系。当然,语音task还有很多种不同类型的任务,如语音转文字等等,因此也会有不同的任务模型结构。

李一鸣还针对多模态的场景进行了说明,他提到在多模态上做攻击很容易出现攻击一个模态效果不好,但是同时攻击多个模态很难保证攻击少数模态时就不成功。也可能会有人质疑这是进行了单一模态的拼接,这部分多模态的工作难免会既浪费时间也浪费资源。

点击“阅读原文”,即可观看本场精彩回放

整理:林   则

审核:向臻、李一鸣、曾祎、沈广宇

 关于AI TIME 

AI TIME源起于2019年,旨在发扬科学思辨精神,邀请各界人士对人工智能理论、算法和场景应用的本质问题进行探索,加强思想碰撞,链接全球AI学者、行业专家和爱好者,希望以辩论的形式,探讨人工智能和人类未来之间的矛盾,探索人工智能领域的未来。

迄今为止,AI TIME已经邀请了900多位海内外讲者,举办了逾400场活动,超400万人次观看。

06e760f4744fc4983154ea4ad61a7896.png

我知道你

在看

~

05795e070707c0d87ce0aeab4130b4ec.gif

点击 阅读原文 查看回放!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/141605.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

区块链基础知识(一)

参考书籍《区块链原理、设计与应用》 基本原理 比特币网络工作流程 技术的演化与分类 分布式共识 交易性能 扩展性问题 数据库和存储系统 数据库也是区块链中重要的一环 分布式系统核心问题 单节点结构演变为分布式系统,首先遇到的问题就是一致性的保障。 一致性问…

小程序开发经验分享(5)-全屏展示小程序

小程序的 navigationBar,有APP开发经验的同学应该知道,navigationBar也就是程序最顶部的一条,我们同常的开发页面,也都是在navigationBar下方的主体区用标签开发UI部分 如下面两个图片,左边的翻译君官方小程序中上面就有这样一个navigationBar用于展示自己的title和菜单按…

K8s 认证工程师 CKA 考题分析和题库练习(下)

目录 10、考核知识:检查可用节点数量 题目内容 题目内容中文解释 做题解答 11、考核知识:一个 Pod 封装多个容器 题目内容 题目内容中文解释 官方文档搜索关键字:pod ​编辑做题解答 12、考核知识:持久卷 PersistentV…

Mac M1芯片 搭建RocketMQ

Mac M1芯片 搭建RocketMQ RocketMQ需要启动三个组件 1、nameserver 路由中心,为整个MQ集群提供服务协调与治理 2、broker 提供消息的转发和存储功能 3、console 控制台面板工具 1、下载RocketMQ https://rocketmq.apache.org/dowloading/releases/ 选择 Binary: rocketmq-all-4…

对外投资追踪汇率数据金融开放指数

一、2005-2020年中国全球投资追踪数据 “中国全球投资跟踪”(China Global Investment Tracker)数据库,由美国企业研究所于1月28日发布。该数据库是唯一一套涵盖中国全球投资和建设的综合数据集,同时使用分别记录和汇总记录两种方…

这几个算法可视化网站,太牛了!

本文已经收录到Github仓库,该仓库包含计算机基础、Java基础、多线程、JVM、数据库、Redis、Spring、Mybatis、SpringMVC、SpringBoot、分布式、微服务、设计模式、架构等核心知识点,欢迎star~ Github地址:https://github.com/Tyson0314/Java-…

深入 Android 底层服务(service)

前言 我们都知道,字节最近发布了PICO4VR眼镜,我买了一个,体验还行。因为我也是做VR眼镜的Android应用层开发的,所以想把自己项目中遇到的一些Android技术分享给读者。近些年随着VR眼镜的兴起,Android的的服…

项目经理跨部门沟通,如何避免踢皮球?

软件项目干系人越多,沟通成本也就越高,非常容易出现相互提皮球的现象。那么如何高效沟通? 1、划分干系人 不同干系人不同策略 软件项目涉及干系人众多,项目不经理不可能对每一个人进行详细沟通,那么我们需要将干系人的…

如何把优化Docker镜像大小

什么是Docker Docker是一个开源的虚拟化平台,可以让开发人员将应用程序和依赖项打包在轻量级容器中,然后可以轻松地在任何环境中运行。这样,开发人员可以将容器作为独立的可移植单元在不同的环境中部署和运行应用程序,而不用担心环…

系统学习ElasticSearch

1.1 、ElasticSearch(简称ES) Elasticsearch是用Java开发并且是当前最流行的开源的企业级搜索引擎。 能够达到实时搜索,稳定,可靠,快速,安装使用方便。 客户端支持Java、.NET(C#)、…

SAP FICO财务月结-外币评估

月末操作-外币评估 —文章整理自高林旭老师的《由浅入深学习SAP财务》一书,SAP相关从业人员值得一读。 企业的外币业务在记账的时候一般都是使用期初的汇率或者即时汇率,但是在月末,需要按照月末汇率对外币的余额或者未清项进行重估&#xf…

c语言入门-3-打印复杂类型

打印复杂类型前言上代码字符整形浮点型打印超长小数向内存中申请空间局部变量,全局变量使用输入函数 scanf作用域生命周期深度解析1 c语言中数据类型2 这些字段类型的大小又是多少呢3 计算机的大小单位4 scanf 报错下一篇前言 语言本身的学习,有两点比较…

【前端】Vue项目:旅游App-(7)city:搜索框search和标签页Tabs

文章目录目标过程与代码搜索框初步自己实现取消功能样式修改标签页效果总代码修改的文件common.csscity.vuemain.js目标 过程与代码 搜索框 初步 在Vant文档中找到搜索框:Search搜索 按照文档要求引入(如果以插件的形式安装vant就不用这样引入&#x…

c语言 动态内存分配 柔性数组

常见的动态内存错误 对null指针的解引用操作 int main()//错误1 因为没有判断 {int* p (int*)malloc(10000);int i 0;for (i 0; i < 10; i){*(p i) i;}return 0; }对动态开辟空间的越界访问 int main() {int* p malloc(10 * sizeof(int));if (p NULL){return 1;}…

5G NR标准: 第16章 初始接入

第16章 初始接入 在 NR 中&#xff0c;初始接入功能包括&#xff1a; • 设备在进入系统覆盖区域时最初找到小区的功能和过程。 • 处于空闲/非活动状态的设备访问网络的功能和程序&#xff0c;通常是请求建立连接&#xff0c;通常称为随机访问。 在相当大的程度上&#xff0…

ORA-27102:out of memory Linux-x86_64 Error: 12: Cannot allocate memory

一 问题描述 无法启动数据库&#xff0c;报错&#xff1a; 二 排查思路 1.确保sga_target,sga_max_size比可用物理内存小 2.检查kernel.shmmax&#xff0c;kernel.shmall是否设置得太小 一般出现ORA-27102&#xff1a;out of memory&#xff0c;是/etc/sysctl.conf种内核参…

Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143)

漏洞描述 Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。 在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞&#xff0c;由于未对InterpreterSettingManager类remove方法中id参数进行正确校验&#xff0c;攻击者可…

看完这篇文章,我再也不用担心线上出现 CPU 性能问题了(上)

目录CPU 使用率平均负载进程上下文切换总结生产环境上出现 CPU 性能问题是非常典型的一类问题&#xff0c;往往这个时候就比较考验相关人员排查问题的能力我相信不少小伙伴在工作当中多多少少都会碰到 CPU 出现性能瓶颈 不知道小伙伴们有没有跟我一样的感受——当 CPU 出现性能…

小红书排行榜 | 粉丝增量500w+,探寻爆款种草内容密码

随着兔年来临&#xff0c;回首上个月小红书母婴动态&#xff0c;行业热度依旧高涨&#xff0c;越来越多的达人和新品牌都涌入了小红书&#xff0c;母婴品牌要如何巧用小红书数据分析工具抢占用户心智&#xff1f;增量500w&#xff0b;的母婴博主有何亮点之处&#xff1f;和我一…

【甘特图软件部件】上海道宁与​DlhSoft助力您的Windows与移动应用程序开发

DlhSoft支持 使用可自定义的甘特图 时间轴、项目调度、资源负载图表、 看板、PERT图表和网络图 为您的WPF、ASP .NET、JavaScript 或macOS和iOS应用程序 设计更智能的应用程序 DlhSoft提供了 真正强大的甘特图软件部件 Apple平台开发人员可以 轻松地将其集成到 他们自…