FRIB: Low-poisoning Rate Invisible Backdoor Attack based on Feature Repair

要約

目に見えないバックドア攻撃のポイズニングデータの生成中に、フィーチャスペース変換操作によって一部のポイズニングされたフィーチャが失われる傾向があり、トリガーとターゲットラベルを含むソース画像間のマッピング関係が弱くなるため、
対応するバックドア攻撃の成功率。
上記の問題を解決するために、我々は初めて特徴修復のアイデアを提案し、被毒データの生成中に失われた被毒特徴を修復するためのブラインド透かし技術を導入します。
一貫性のあるラベリングを保証するという前提の下で、FRIBという名前の機能修復に基づく低中毒率の目に見えないバックドア攻撃を提案します。
上記の設計コンセプトの恩恵を受けて、新しい方法は、トリガー付きのソース画像とターゲットラベル間のマッピング関係を強化し、誤解を招くDNNの程度を高め、非常に低い中毒率で高いバックドア攻撃成功率を達成します。
最終的に、詳細な実験結果は、非常に低い中毒率でバックドア攻撃の高い成功率を達成するという目標が、すべてのMNIST、CIFAR10、GTSRB、およびImageNetデータセットで達成されることを示しています。

要約(オリジナル)

During the generation of invisible backdoor attack poisoned data, the feature space transformation operation tends to cause the loss of some poisoned features and weakens the mapping relationship between source images with triggers and target labels, resulting in the need for a higher poisoning rate to achieve the corresponding backdoor attack success rate. To solve the above problems, we propose the idea of feature repair for the first time and introduce the blind watermark technique to repair the poisoned features lost during the generation of poisoned data. Under the premise of ensuring consistent labeling, we propose a low-poisoning rate invisible backdoor attack based on feature repair, named FRIB. Benefiting from the above design concept, the new method enhances the mapping relationship between the source images with triggers and the target labels, and increases the degree of misleading DNNs, thus achieving a high backdoor attack success rate with a very low poisoning rate. Ultimately, the detailed experimental results show that the goal of achieving a high success rate of backdoor attacks with a very low poisoning rate is achieved on all MNIST, CIFAR10, GTSRB, and ImageNet datasets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google