要約
ディープラーニングは、多くの機械学習課題において優れた成果を上げている。それにもかかわらず、学習済みモデルに秘密の機能を埋め込むために学習セットを修正するバックドア攻撃に対して脆弱である。修正された学習サンプルは、秘密の特性、すなわちトリガーを持つ。推論時に、入力にトリガーが含まれる場合は秘密機能が有効になり、それ以外の場合はモデルが正しく機能する。多くのバックドア攻撃(と防御)が知られているが、ステルス攻撃を展開するのはまだ些細なことである。バックドアトリガーをうまく作るには、多くのパラメータに大きく依存します。残念ながら、どのパラメータが攻撃性能に最も寄与しているかは、まだ研究によって明らかにされていません。 本論文では、バックドア攻撃に最も関連するパラメータ、すなわち、トリガーのサイズ、位置、色、ポイズニング率を体系的に分析する。コンピュータビジョンで非常に一般的な転移学習を用い、多数の最新モデル(ResNet、VGG、AlexNet、GoogLeNet)およびデータセット(MNIST、CIFAR10、TinyImageNet)で攻撃を評価する。私たちの攻撃は、研究中のバックドア設定の大部分をカバーしており、今後の研究の具体的な方向性を示しています。また、結果の再現性を高めるため、コードを公開しています。
要約(オリジナル)
Deep learning achieves outstanding results in many machine learning tasks. Nevertheless, it is vulnerable to backdoor attacks that modify the training set to embed a secret functionality in the trained model. The modified training samples have a secret property, i.e., a trigger. At inference time, the secret functionality is activated when the input contains the trigger, while the model functions correctly in other cases. While there are many known backdoor attacks (and defenses), deploying a stealthy attack is still far from trivial. Successfully creating backdoor triggers heavily depends on numerous parameters. Unfortunately, research has not yet determined which parameters contribute most to the attack performance. This paper systematically analyzes the most relevant parameters for the backdoor attacks, i.e., trigger size, position, color, and poisoning rate. Using transfer learning, which is very common in computer vision, we evaluate the attack on numerous state-of-the-art models (ResNet, VGG, AlexNet, and GoogLeNet) and datasets (MNIST, CIFAR10, and TinyImageNet). Our attacks cover the majority of backdoor settings in research, providing concrete directions for future works. Our code is publicly available to facilitate the reproducibility of our results.
arxiv情報
| 著者 | Gorka Abad,Jing Xu,Stefanos Koffas,Behrad Tajalli,Stjepan Picek |
| 発行日 | 2023-02-03 14:00:05+00:00 |
| arxivサイト | arxiv_id(pdf) |