FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases

要約

バックドア攻撃とも呼ばれるディープ ニューラル ネットワークに対するトロイの木馬攻撃は、人工知能に対する典型的な脅威です。
トロイの木馬に感染したニューラル ネットワークは、クリーンな入力で正常に動作します。
ただし、入力に特定のトリガーが含まれている場合、トロイの木馬モデルは攻撃者が選択した異常な動作をします。
多くのバックドア検出方法が存在しますが、それらのほとんどは、防御側が一連のクリーンな検証サンプルまたはトリガー付きのサンプルにアクセスできることを前提としています。
モデル共有プラットフォームのメンテナー。
したがって、このホワイト ペーパーでは、クリーンなサンプルまたはトリガーを使用したサンプルへのアクセスに依存することなく、ディープ ニューラル ネットワークに対する複雑なバックドア攻撃を効果的に検出できる最初のデータフリー バックドア検出方法である FreeEagle を提案します。
多様なデータセットとモデル アーキテクチャに関する評価結果は、FreeEagle がさまざまな複雑なバックドア攻撃に対して効果的であり、最先端の非データ フリー バックドア検出方法よりも優れていることを示しています。

要約(オリジナル)

Trojan attack on deep neural networks, also known as backdoor attack, is a typical threat to artificial intelligence. A trojaned neural network behaves normally with clean inputs. However, if the input contains a particular trigger, the trojaned model will have attacker-chosen abnormal behavior. Although many backdoor detection methods exist, most of them assume that the defender has access to a set of clean validation samples or samples with the trigger, which may not hold in some crucial real-world cases, e.g., the case where the defender is the maintainer of model-sharing platforms. Thus, in this paper, we propose FreeEagle, the first data-free backdoor detection method that can effectively detect complex backdoor attacks on deep neural networks, without relying on the access to any clean samples or samples with the trigger. The evaluation results on diverse datasets and model architectures show that FreeEagle is effective against various complex backdoor attacks, even outperforming some state-of-the-art non-data-free backdoor detection methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google