【论文阅读】ACM MM 2023 PatchBackdoor:不修改模型的深度神经网络后门攻击

news2024/12/25 12:58:57

文章目录

  • 一.论文信息
  • 二.论文内容
    • 1.摘要
    • 2.引言
    • 3.作者贡献
    • 4.主要图表
    • 5.结论

一.论文信息

论文题目: PatchBackdoor: Backdoor Attack against Deep Neural Networks without Model Modification(PatchBackdoor:不修改模型的深度神经网络后门攻击)

论文来源: 2023-ACM MM

论文团队: 清华大学人工智能产业研究院(AIR)&武汉大学&上海交通大学&上海人工智能实验室

在这里插入图片描述)

二.论文内容

1.摘要

后门攻击是深度学习系统在安全关键场景中的主要威胁,其目的是在攻击者控制的条件下触发神经网络模型的不当行为。然而,大多数后门攻击必须通过使用有毒数据和或直接编辑模型来修改神经网络模型,这导致了一种常见但错误的信念,即通过适当保护模型可以很容易地避免后门攻击。在本文中,我们证明了后门攻击可以在不修改模型的情况下实现。我们不向训练数据或模型中注入后门逻辑,而是在摄像机前放置一个精心设计的补丁(即后门补丁),与输入的图像一起馈送到模型中。当输入图像包含攻击者控制的触发对象时,该补丁可以被训练成在大多数时间表现正常,而产生错误的预测。我们的主要技术包括一种有效的训练方法来生成后门补丁一种数字物理转换建模方法来增强补丁在实际部署中的可行性。大量实验表明,PatchBackdoor可以应用于常见的深度学习模型(VGG, MobileNet, ResNet),在分类任务上的攻击成功率为93%至99%。此外,我们在现实场景中实现了PatchBackdoor,并表明攻击仍然具有威胁性。

2.引言

深度神经网络(Deep Neural Networks, dnn)广泛应用于许多安全关键边缘系统,如自动驾驶[8]、人脸认证[42]和医疗诊断[31,35]。在为许多应用带来极大便利的同时,深度学习(DL)的安全问题也受到了广泛关注。

众所周知,DNN容易受到多种类型的攻击,而后门攻击是其中的主要一种。大多数后门攻击方法通过使用有毒数据集训练受害者模型来进行攻击[13,28]。当预测正常测试样本时,训练模型将具有较高的良性准确性,而当存在某些攻击者控制的触发器时,模型将给出错误的预测。还有一些攻击者通过直接修改模型结构和/或权重来进行攻击[6],这种攻击通常发生在第三方机器学习平台上,用户将培训或服务外包给不可信的服务提供商。攻击者可以修改他们的模型,在模型实际部署之前注入后门。

后门攻击的一个主要限制是需要修改模型,这在大多数安全关键场景中都是具有挑战性的。例如,大多数自动驾驶公司使用自己收集和仔细过滤的数据集进行培训,也不会将培训外包给云服务。在部署时,可以将模型放在只读内存中以确保完整性。因此,尽管后门攻击看起来很有威胁,但对于大多数可以安全地管理训练数据集和部署模型的模型开发人员来说,它并不那么重要。

在本文中,我们提出在不修改受害者模型的情况下实现后门攻击。我们的想法是通过附加一个恒定的输入补丁来注入后门逻辑,这是可行的,因为许多视觉应用具有不变的前景/背景。这种攻击是危险的,因为(i)模型开发人员很难避免这种攻击,因为攻击发生在模型安全部署之后;(ii)攻击者可以灵活地控制后门逻辑来实现实际攻击。

使用输入补丁为深度神经网络后门的想法与对抗性补丁攻击密切相关[2,13],这在文献中得到了广泛的研究。然而,对抗性补丁攻击的目标是,如果输入中出现了精心设计的补丁,则直接产生错误的预测。相反,我们的目标是在前景或背景中注入一个带有恒定补丁的隐藏后门逻辑。我们的方法是后门和对抗性补丁攻击之间的一种新颖的联系。

我们的方法包括两个主要技术。首先,我们采用蒸馏式训练方法生成不带标记训练数据的后门补丁。具体来说,我们设计了一个训练目标,共同最大化patch隐身性(即,在正常输入上模仿良性模型行为)和攻击有效性(即,在触发条件下产生不当行为)。

其次,为了提高物理世界中的攻击效果,我们提出用可微变换(包括形状变换和颜色变换)对数字-物理视觉位移进行建模,使数字训练后的后门补丁可以直接应用于物理世界。

为了评估我们的方法,我们在三个数据集(CIFAR10[24]、Imagenette[18]、Caltech101[9])和三个模型(VGG[40]、ResNet[16]、MobileNet[39])上进行了实验。结果表明,该算法在不同情况下都具有较强的鲁棒性,攻击成功率在93% ~ 99%之间。同时,我们的攻击是隐形的,因为后门补丁不会影响受害者模型的良性准确性,并且很难被分布外(OOD)检测器检测到。通过使用不同的剪枝比率(0%、30%、60%、90%)进行测试,我们还证明了我们的攻击在不同的过参数化水平上是有效的。通过将攻击部署到物理世界,我们演示了在真实场景中攻击的可行性。

本文的研究贡献如下:

  • 据我们所知,这是第一次针对神经网络的后门攻击,不需要对受害者模型进行任何修改。
  • 我们为攻击设计了一个训练方案,该方案可以在最小的数据需求下高效地生成有效的后门补丁。
  • 我们引入了一种数字物理转换建模方法,可以提高实际部署中的攻击有效性。
  • 我们对攻击的有效性和反侦查能力进行全面评估。

源代码在 https://github.com/XaiverYuan/PatchBackdoor

3.作者贡献

  • 本文提出的后门攻击不对模型进行修改,既不修改模型结构,也不利用训练数据污染模型。
  • 我们为攻击设计了一个训练方案,该方案可以在最小的数据需求下高效地生成有效的后门补丁。
  • 我们引入了一种数字物理转换建模方法,可以提高实际部署中的攻击有效性(发生在部署阶段的后门攻击)。
  • 我们对攻击的有效性和反侦查能力进行全面评估。

4.主要图表

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5.结论

我们引入了一种针对DNN模型的后门攻击,该攻击通过在相机视图中附加补丁而不是修改训练过程或模型来注入后门逻辑。实验证明了该方法的有效性和在物理世界中的可行性。我们的工作表明,除了训练数据和模型之外,恒定的相机前景/背景可能是边缘人工智能系统的重要攻击面。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1512611.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

P1765 手机

题目描述&#xff1a; AC代码&#xff1a; #include<iostream> #include<cstring>using namespace std;int main() {string str;getline(cin,str);int cnt 0;for(int i0;i<str.size();i){if(str[i] a || str[i] d || str[i] g || str[i] j || str[i] m…

SA3D:基于 NeRF 的三维场景分割方法

Paper: Cen J, Zhou Z, Fang J, et al. Segment anything in 3d with nerfs[J]. Advances in Neural Information Processing Systems, 2024, 36. Introduction: https://jumpat.github.io/SA3D/ Code: https://github.com/Jumpat/SegmentAnythingin3D SA3D 是一种用于 NeRF 表…

【C#】.net core 6.0 使用第三方日志插件Log4net,日志输出到控制台或者文本文档

欢迎来到《小5讲堂》 大家好&#xff0c;我是全栈小5。 这是《C#》系列文章&#xff0c;每篇文章将以博主理解的角度展开讲解&#xff0c; 特别是针对知识点的概念进行叙说&#xff0c;大部分文章将会对这些概念进行实际例子验证&#xff0c;以此达到加深对知识点的理解和掌握。…

在域控的Users目录下批量创建用户组,名称来自Excel

对于CSV文件&#xff0c;PowerShell可以直接读取并处理&#xff0c;无需额外安装模块。假设你的CSV文件中&#xff0c;用户组名称在第一列&#xff0c;文件名为"groups.csv"&#xff0c;可以使用以下PowerShell脚本来批量创建&#xff1a; # 读取CSV文件中的数据 $g…

Python 基于 OpenCV 视觉图像处理实战 之 开发环境搭建

Python 基于 OpenCV 视觉图像处理实战 之 开发环境搭建 目录 Python 基于 OpenCV 视觉图像处理实战 之 开发环境搭建 一、简单介绍 二、该项目案例的开发环境 三、Python 环境搭建 1、Python 安装包下载 2、这里以 下载 Python 3.10.9 为例 3、安装 Python 3.10.9 4、检…

大语言模型RAG-技术概览 (一)

大语言模型RAG-技术概览 (一) 一 RAG概览 检索增强生成&#xff08;Retrieval-AugmentedGeneration, RAG&#xff09;。即大模型在回答问题或生成问题时会先从大量的文档中检索相关的信息&#xff0c;然后基于这些信息进行回答。RAG很好的弥补了传统搜索方法和大模型两类技术…

java-单列集合-set系列

set集合继承collection,所以API都差不多&#xff0c;我就不多加介绍 直接见图看他们的特点 我们主要讲述的是set系列里的HashSet、LinkedHashSet、TreeSet HashSet HashSet它的底层是哈希表 哈希表由数组集合红黑树组成 特点&#xff1a;增删改查都性能良好 哈希表具体是…

使用endnote插入引用文献导致word英文和数字变成符号的解决方案

使用endnote插入引用文献导致word英文和数字变成符号的解决方案 如图使用endnote插入引用文献导致word英文和数字变成符号字体Wingdings Wingdings 是一个符号字体系列&#xff0c;它将许多字母渲染成各式各样的符号&#xff0c;用途十分广泛。 **解决方法&#xff1a;**直接通…

混合云构建-VPN打通阿里云和Azure云

要在阿里云和Azure云之间通过VPN打通网络,您需要在两边分别设置VPN网关,并配置相应的连接和路由规则以确保两个云环境之间的网络流量可以互通。以下是一个基本的步骤指南: 为了更具体地说明如何在阿里云和Azure之间通过VPN打通网络,我们将通过一个简化的示例来演示整个过程…

SublimeText4 安装

Sublime Text 可以编写html&#xff0c;css&#xff0c;js&#xff0c;php等等&#xff0c;是一个轻量、简洁、高效、跨平台的编辑器。 图1&#xff1a;SublimeText官网 Sublime Text具有漂亮的用户界面和强大的功能&#xff0c;例如代码缩略图&#xff0c;Python的插件&#…

面向IoT物联网的时间序列引擎

1、背景 随着近年来业务的发展&#xff0c;尤其是机器产生的数据占比越来越高的趋势下&#xff0c;时序数据因为其业务价值越来越被更多地关注&#xff0c;也因而催生了专用的时间序列数据库&#xff0c;简称时序数据库&#xff08;TimeSeries Database&#xff0c;TSDB&#x…

【项目】C++ 基于多设计模式下的同步异步日志系统

前言 一般而言&#xff0c;业务的服务都是周而复始的运行&#xff0c;当程序出现某些问题时&#xff0c;程序员要能够进行快速的修复&#xff0c;而修复的前提是要能够先定位问题。 因此为了能够更快的定位问题&#xff0c;我们可以在程序运行过程中记录一些日志&#xff0c;通…

垃圾清理软件大全免费 磁盘空间不足?注册表不敢乱动怎么办?ccleaner官方下载

在日常的工作中&#xff0c;面对重要文件时往往都会备份一份&#xff1b;在下载文件时&#xff0c;有时也会不小心把一份文件下载好多次。这些情况会导致电脑中出现重复的文件&#xff0c;删除这些重复文件&#xff0c;可以节省电脑空间&#xff0c;帮助提高电脑运行速度。那么…

【敬伟ps教程】视频动画

文章目录 视频文档视频时间轴帧动画视频文档 工作区需由[基本功能]切换为[动感] 可以看到我们需从时间的维度来编辑动态视觉图像 时间轴:从时间的维度来编辑动态视觉图像 PS提供的时间轴有两种:1、视频时间轴;2、动画时间轴 新建视频文档,点击新建或Ctrl+N,预设选择“胶…

Docker自建蜜罐系统【失陷检测、外网威胁感知、威胁情报】

项目地址&#xff1a; https://hfish.net Hfish是一款基于Docker的网络钓鱼平台&#xff0c;它能够帮助安全团队模拟各种网络钓鱼攻击&#xff0c;以测试和提高组织的安全防御能力。 Hfish的优点 为什么选择Hfish&#xff1f; 蜜罐通常被定义为具有轻量级检测能力、低误报率…

学生护眼台灯应该怎么选?揭秘央视推荐护眼台灯清单

大家都知道现在的学生学业压力都不比从前&#xff0c;不仅多了许多需要学习的科目&#xff0c;作业和功课也增加了许多&#xff0c;这样导致越来越多学生过早出现近视的现象。作为父母的我们能为孩子做的就是挑选一款光源舒适的台灯&#xff0c;以便孩子在夜晚学习时也能得到充…

MySQL进阶45讲【33】join语句怎么优化?

1 前言 在上一篇文章中&#xff0c;介绍了join语句的两种算法&#xff0c;分别是IndexNested-Loop Join(NLJ)和Block Nested-Loop Join(BNL)。 我们发现在使用NLJ算法的时候&#xff0c;其实效果还是不错的&#xff0c;比通过应用层拆分成多个语句然后再拼接查询结果更方便&a…

CVE-2023-38836 BoidCMSv.2.0.0 后台文件上传漏洞

漏洞简介 BoidCMS是一个免费的开源平面文件 CMS&#xff0c;用于构建简单的网站和博客&#xff0c;使用 PHP 开发并使用 JSON 作为数据库。它的安装无需配置或安装任何关系数据库&#xff08;如 MySQL&#xff09;。您只需要一个支持PHP 的Web服务器。在 BoidCMS v.2.0.0 中存…

《JAVA与模式》之适配器模式

系列文章目录 文章目录 系列文章目录前言一、适配器模式的用途二、适配器模式的结构三、类适配器模式四、对象适配器模式五、适配器模式的优缺点前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,…

抗生素净化提纯大孔吸附树脂

一、介绍 ADS-800级吸附树脂 ADS-800是一款功能强大的&#xff0c;大孔&#xff0c;湿润的球形交联聚合物吸附型树脂。 ADS-800 具有优良的物理特性&#xff0c;化学和热稳定性。它的特定的多孔性和其表面积使的本产品适合于分离技术的应用。 ADS-800 是为了流程工业中的专业…