要約
バックドア ポイズニング攻撃は、ニューラル ネットワークによく知られたリスクをもたらします。
ただし、ほとんどの研究は寛大な脅威モデルに焦点を当てています。
クリーンラベルのブラックボックス設定で動作し、ステルス毒とトリガーを使用し、既存の手法を上回る新しい攻撃である Silent Killer を紹介します。
私たちは、有害ラベル設定下でのそのようなアプローチの成功に続き、クリーンラベル攻撃のトリガーとしての普遍的な敵対的摂動の使用を調査します。
私たちは単純な適応の成功を分析し、高い成功率を確保するには毒を作成するための勾配の調整が必要であることを発見しました。
私たちは MNIST、CIFAR10、および ImageNet の縮小版で徹底的な実験を実施し、最先端の結果を達成しています。
要約(オリジナル)
Backdoor poisoning attacks pose a well-known risk to neural networks. However, most studies have focused on lenient threat models. We introduce Silent Killer, a novel attack that operates in clean-label, black-box settings, uses a stealthy poison and trigger and outperforms existing methods. We investigate the use of universal adversarial perturbations as triggers in clean-label attacks, following the success of such approaches under poison-label settings. We analyze the success of a naive adaptation and find that gradient alignment for crafting the poison is required to ensure high success rates. We conduct thorough experiments on MNIST, CIFAR10, and a reduced version of ImageNet and achieve state-of-the-art results.
arxiv情報
| 著者 | Tzvi Lederer,Gallil Maimon,Lior Rokach |
| 発行日 | 2023-10-01 16:32:23+00:00 |
| arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google