Training set cleansing of backdoor poisoning by self-supervised representation learning

要約

バックドア攻撃またはトロイの木馬攻撃は、ディープ ニューラル ネットワーク (DNN) 分類子に対する重要なタイプのデータ ポイズニング攻撃です。トレーニング データセットは、バックドア パターン (通常、知覚できないか無害なパターン) を持つ少数のサンプルで汚染されます。
) であり、攻撃者のターゲット クラスに誤ったラベルが付けられています。
バックドアに汚染されたデータセットでトレーニングすると、DNN はほとんどの無害なテスト サンプルで正常に動作しますが、テスト サンプルにバックドア パターンが組み込まれている (つまり、バックドア トリガーが含まれている) 場合、ターゲット クラスに対して誤った予測を行います。
ここでは、画像分類タスクに焦点を当て、教師ありトレーニングによって、バックドア パターンと関連するターゲット クラスとの間に、通常の特徴と真の元のクラスとの間の関連付けよりも強い関連付けが構築される可能性があることを示します。
対照的に、自己教師あり表現学習はサンプルのラベルを無視し、画像のセマンティック コンテンツに基づいて特徴埋め込みを学習します。
したがって、教師なし表現学習を使用して、バックドアに毒されたトレーニング サンプルを強調することを避け、同じクラスのサンプルに対して同様の機能埋め込みを学習することを提案します。
自己教師あり表現学習によって発見された特徴埋め込みを使用して、サンプル フィルタリングと再ラベル付けを組み合わせたデータ クレンジング手法が開発されました。
CIFAR-10 ベンチマーク データセットでの実験では、バックドア攻撃を軽減する上で、私たちの方法が最先端のパフォーマンスを達成することが示されています。

要約(オリジナル)

A backdoor or Trojan attack is an important type of data poisoning attack against deep neural network (DNN) classifiers, wherein the training dataset is poisoned with a small number of samples that each possess the backdoor pattern (usually a pattern that is either imperceptible or innocuous) and which are mislabeled to the attacker’s target class. When trained on a backdoor-poisoned dataset, a DNN behaves normally on most benign test samples but makes incorrect predictions to the target class when the test sample has the backdoor pattern incorporated (i.e., contains a backdoor trigger). Here we focus on image classification tasks and show that supervised training may build stronger association between the backdoor pattern and the associated target class than that between normal features and the true class of origin. By contrast, self-supervised representation learning ignores the labels of samples and learns a feature embedding based on images’ semantic content. %We thus propose to use unsupervised representation learning to avoid emphasising backdoor-poisoned training samples and learn a similar feature embedding for samples of the same class. Using a feature embedding found by self-supervised representation learning, a data cleansing method, which combines sample filtering and re-labeling, is developed. Experiments on CIFAR-10 benchmark datasets show that our method achieves state-of-the-art performance in mitigating backdoor attacks.

arxiv情報

著者 H. Wang,S. Karami,O. Dia,H. Ritter,E. Emamjomeh-Zadeh,J. Chen,Z. Xiang,D. J. Miller,G. Kesidis
発行日 2023-03-14 17:02:34+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CR, cs.CV, cs.LG パーマリンク