Clean-label Backdoor Attack against Deep Hashing based Retrieval

要約

ディープハッシングは、その計算効率と保存効率から、大規模画像検索において一般的な手法となっている。しかし、最近の研究では、ディープハッシングのセキュリティに関する懸念が提起されています。既存の研究では、敵対的な摂動に対するディープハッシングの脆弱性に焦点が当てられていますが、我々は、攻撃者が学習データにアクセスできる場合、バックドア攻撃という、より差し迫った脅威を特定します。バックドアされたディープハッシングモデルは、オリジナルのクエリ画像では正常に振る舞い、トリガーが提示されるとターゲットラベルを持つ画像を返すため、攻撃を発見されにくくなります。本論文では、クリーンラベルデータポイズニングを利用することで、このセキュリティ上の懸念を払拭する。我々の知る限り、これはディープハッシュモデルに対するバックドア攻撃の最初の試みである。ポイズニングされた画像を作成するために、我々はまず、バックドアトリガーとしてターゲットとなる敵対的なパッチを生成します。さらに、ハッシュコードの学習を妨害するため、ハッシュモデルがトリガーについてより多く学習できるように、混乱した摂動を提案します。混乱擾乱は知覚できないものであり、ターゲットラベルを持つ画像をハミング空間内に分散させることで生成される。我々は、様々な設定において、我々のバックドア攻撃の有効性を検証するために、広範囲な実験を行いました。例えば、ImageNetにおいて、48ビットのコード長で、たった40枚の毒画像で、63%の目標平均精度を達成することができる。

要約(オリジナル)

Deep hashing has become a popular method in large-scale image retrieval due to its computational and storage efficiency. However, recent works raise the security concerns of deep hashing. Although existing works focus on the vulnerability of deep hashing in terms of adversarial perturbations, we identify a more pressing threat, backdoor attack, when the attacker has access to the training data. A backdoored deep hashing model behaves normally on original query images, while returning the images with the target label when the trigger presents, which makes the attack hard to be detected. In this paper, we uncover this security concern by utilizing clean-label data poisoning. To the best of our knowledge, this is the first attempt at the backdoor attack against deep hashing models. To craft the poisoned images, we first generate the targeted adversarial patch as the backdoor trigger. Furthermore, we propose the confusing perturbations to disturb the hashing code learning, such that the hashing model can learn more about the trigger. The confusing perturbations are imperceptible and generated by dispersing the images with the target label in the Hamming space. We have conducted extensive experiments to verify the efficacy of our backdoor attack under various settings. For instance, it can achieve 63% targeted mean average precision on ImageNet under 48 bits code length with only 40 poisoned images.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL