Beating Backdoor Attack at Its Own Game

要約

ディープニューラルネットワーク（DNN）はバックドア攻撃に対して脆弱である。バックドア攻撃は、クリーンデータ上ではネットワークの性能に影響を与えないが、トリガーパターンが追加されるとネットワークの挙動を操作してしまう。既存の防御手法では攻撃の成功率は大幅に低下しているが、クリーンデータ上での予測精度は依然としてクリーンモデルに大きく遅れをとっている。バックドア攻撃のステルス性と有効性に触発され、ポイズニングされたサンプルをターゲットに非逆境的バックドアを注入する、シンプルだが非常に効果的な防御フレームワークを提案する。バックドア攻撃の一般的なステップに従い、我々は疑わしいサンプルの小さなセットを検出し、それらにポイズニング戦略を適用する。非逆境的バックドアは一旦起動されると、ポイズニングされたデータ上では攻撃者のバックドアを抑制するが、クリーンなデータへの影響は限定的である。この防御は、標準的なエンドツーエンドのトレーニングパイプラインに変更を加えることなく、データの前処理中に実行することができる。我々は、異なるアーキテクチャと代表的な攻撃を持つ複数のベンチマークで広範な実験を行った。その結果、我々の手法がクリーンなデータにおいて圧倒的に低い性能低下で最先端の防御効果を達成することが実証された。我々のフレームワークが示した驚くべき防御能力を考慮すると、バックドア防御のためにバックドアを利用することにもっと注意を払う必要がある。コードはhttps://github.com/damianliumin/non-adversarial_backdoor。

要約(オリジナル)

Deep neural networks (DNNs) are vulnerable to backdoor attack, which does not affect the network’s performance on clean data but would manipulate the network behavior once a trigger pattern is added. Existing defense methods have greatly reduced attack success rate, but their prediction accuracy on clean data still lags behind a clean model by a large margin. Inspired by the stealthiness and effectiveness of backdoor attack, we propose a simple but highly effective defense framework which injects non-adversarial backdoors targeting poisoned samples. Following the general steps in backdoor attack, we detect a small set of suspected samples and then apply a poisoning strategy to them. The non-adversarial backdoor, once triggered, suppresses the attacker’s backdoor on poisoned data, but has limited influence on clean data. The defense can be carried out during data preprocessing, without any modification to the standard end-to-end training pipeline. We conduct extensive experiments on multiple benchmarks with different architectures and representative attacks. Results demonstrate that our method achieves state-of-the-art defense effectiveness with by far the lowest performance drop on clean data. Considering the surprising defense ability displayed by our framework, we call for more attention to utilizing backdoor for backdoor defense. Code is available at https://github.com/damianliumin/non-adversarial_backdoor.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL