Beating Backdoor Attack at Its Own Game

要約

ディープ ニューラル ネットワーク (DNN) はバックドア攻撃に対して脆弱であり、クリーン データに対するネットワークのパフォーマンスには影響しませんが、トリガー パターンが追加されるとネットワークの動作が操作される可能性があります。
既存の防御方法では攻撃の成功率が大幅に低下していますが、クリーンなデータに対する予測精度は依然としてクリーンなモデルに比べて大幅に遅れています。
バックドア攻撃のステルス性と有効性に着想を得て、私たちは、毒されたサンプルをターゲットとする非敵対的なバックドアを注入する、シンプルだが非常に効果的な防御フレームワークを提案します。
バックドア攻撃の一般的な手順に従って、疑わしいサンプルの少数のセットを検出し、それらにポイズニング戦略を適用します。
非敵対的バックドアは、一度トリガーされると、汚染されたデータに対する攻撃者のバックドアを抑制しますが、クリーンなデータに対する影響は限定的です。
防御は、標準のエンドツーエンド トレーニング パイプラインを変更することなく、データの前処理中に実行できます。
私たちは、さまざまなアーキテクチャと代表的な攻撃を使用した複数のベンチマークで広範な実験を実施しています。
結果は、私たちの方法がクリーンなデータに対して最も低いパフォーマンス低下で最先端の防御効果を達成することを示しています。
私たちのフレームワークが示す驚くべき防御能力を考慮して、バックドア防御のためのバックドアの活用にさらに注目するよう呼びかけます。
コードは https://github.com/damianliumin/non-adversarial_backdoor で入手できます。

要約(オリジナル)

Deep neural networks (DNNs) are vulnerable to backdoor attack, which does not affect the network’s performance on clean data but would manipulate the network behavior once a trigger pattern is added. Existing defense methods have greatly reduced attack success rate, but their prediction accuracy on clean data still lags behind a clean model by a large margin. Inspired by the stealthiness and effectiveness of backdoor attack, we propose a simple but highly effective defense framework which injects non-adversarial backdoors targeting poisoned samples. Following the general steps in backdoor attack, we detect a small set of suspected samples and then apply a poisoning strategy to them. The non-adversarial backdoor, once triggered, suppresses the attacker’s backdoor on poisoned data, but has limited influence on clean data. The defense can be carried out during data preprocessing, without any modification to the standard end-to-end training pipeline. We conduct extensive experiments on multiple benchmarks with different architectures and representative attacks. Results demonstrate that our method achieves state-of-the-art defense effectiveness with by far the lowest performance drop on clean data. Considering the surprising defense ability displayed by our framework, we call for more attention to utilizing backdoor for backdoor defense. Code is available at https://github.com/damianliumin/non-adversarial_backdoor.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google