DFB: A Data-Free, Low-Budget, and High-Efficacy Clean-Label Backdoor Attack

要約

バックドア攻撃の分野では、初歩的な検出メカニズムを回避するには、挿入されたデータの正確なラベル付けが不可欠です。
この義務は、クリーンラベル攻撃の開発を促進しました。クリーンラベル攻撃は、挿入されたデータの元のラベルを保持するため、特にとらえどころがなくなりました。
現在のクリーンラベル攻撃手法は主にトレーニング データセットに関する広範な知識に依存しています。
ただし、トレーニング データセットは通常、さまざまな独立したソースからコンパイルされるため、実際には、そのような包括的なデータセットへのアクセスは達成できないことがよくあります。
従来のクリーンラベル攻撃手法とは異なり、私たちの研究では、データフリー、低予算、高効率のクリーンラベル バックドア攻撃である DFB を導入しています。
DFB はトレーニング データ アクセスから独立している点で独特であり、特定のターゲット クラスの知識のみを必要とします。
CIFAR10、Tiny-ImageNet、TSRD でテストしたところ、DFB はそれぞれわずか 0.1%、0.025%、0.4% という最小限の中毒率で顕著な有効性を示しました。
これらのレートは、LC、HTBA、BadNets、Blend などの既存の手法で必要とされるレートよりも大幅に低いですが、DFB は優れた攻撃成功率を達成します。
さらに、我々の調査結果は、DFB が 4 つの確立されたバックドア防御アルゴリズムに対して恐るべき課題を提示していることを明らかにしており、高度なクリーンラベル攻撃戦略における強力なツールとしての可能性を示しています。

要約(オリジナル)

In the domain of backdoor attacks, accurate labeling of injected data is essential for evading rudimentary detection mechanisms. This imperative has catalyzed the development of clean-label attacks, which are notably more elusive as they preserve the original labels of the injected data. Current clean-label attack methodologies primarily depend on extensive knowledge of the training dataset. However, practically, such comprehensive dataset access is often unattainable, given that training datasets are typically compiled from various independent sources. Departing from conventional clean-label attack methodologies, our research introduces DFB, a data-free, low-budget, and high-efficacy clean-label backdoor Attack. DFB is unique in its independence from training data access, requiring solely the knowledge of a specific target class. Tested on CIFAR10, Tiny-ImageNet, and TSRD, DFB demonstrates remarkable efficacy with minimal poisoning rates of just 0.1%, 0.025%, and 0.4%, respectively. These rates are significantly lower than those required by existing methods such as LC, HTBA, BadNets, and Blend, yet DFB achieves superior attack success rates. Furthermore, our findings reveal that DFB poses a formidable challenge to four established backdoor defense algorithms, indicating its potential as a robust tool in advanced clean-label attack strategies.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google