Data-Efficient Backdoor Attacks

要約

最近の研究では、ディープニューラルネットワークがバックドア攻撃に対して脆弱であることが証明されています。
具体的には、少数の被毒サンプルをトレーニングセットに混合することにより、トレーニングされたモデルの動作を悪意を持って制御することができます。
既存の攻撃方法は、良性のセットからいくつかのクリーンなデータをランダムに選択し、それらにトリガーを埋め込むことによって、そのような敵を構築します。
ただし、この選択戦略では、各被毒サンプルがバックドア注入に不均等に寄与し、中毒の効率が低下するという事実を無視しています。
本論文では、最適化問題としての選択による被毒データ効率の改善を定式化し、それを解決するためのフィルタリングおよび更新戦略（FUS）を提案します。
CIFAR-10とImageNet-10の実験結果は、提案された方法が効果的であることを示しています。ランダム選択戦略と比較して、毒サンプル量の47％から75％で同じ攻撃成功率を達成できます。
さらに重要なことに、ある設定に従って選択された敵は、他の設定にうまく一般化でき、強力な転送可能性を示します。
このメソッドのプロトタイプコードは、https：//github.com/xpf/Data-Efficient-Backdoor-Attacksで入手できます。

要約(オリジナル)

Recent studies have proven that deep neural networks are vulnerable to backdoor attacks. Specifically, by mixing a small number of poisoned samples into the training set, the behavior of the trained model can be maliciously controlled. Existing attack methods construct such adversaries by randomly selecting some clean data from the benign set and then embedding a trigger into them. However, this selection strategy ignores the fact that each poisoned sample contributes inequally to the backdoor injection, which reduces the efficiency of poisoning. In this paper, we formulate improving the poisoned data efficiency by the selection as an optimization problem and propose a Filtering-and-Updating Strategy (FUS) to solve it. The experimental results on CIFAR-10 and ImageNet-10 indicate that the proposed method is effective: the same attack success rate can be achieved with only 47% to 75% of the poisoned sample volume compared to the random selection strategy. More importantly, the adversaries selected according to one setting can generalize well to other settings, exhibiting strong transferability. The prototype code of our method is now available at https://github.com/xpf/Data-Efficient-Backdoor-Attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google