Backdoor defense, learnability and obfuscation

要約

攻撃者と防御者の間のゲームを使用して、バックドアに対する防御可能性の正式な概念を導入します。
このゲームでは、攻撃者は関数を変更して、「トリガー」として知られる特定の入力では異なる動作をする一方で、他のほとんどの場所では同じ動作をします。
次に、防御側は評価時にトリガーの検出を試みます。
防御側が十分な確率で成功した場合、その関数クラスは防御可能であると言われます。
防御を可能にする攻撃者に対する重要な制約は、攻撃者の戦略がランダムに選択されたトリガーに対して機能する必要があるということです。
私たちの定義はシンプルであり、学習については明示的に言及していませんが、それが学習可能性と密接に関連していることを示しています。
計算的に制限のない設定では、Hanneke らの投票アルゴリズムを使用します。
(2022) は、防御可能性が PAC 学習可能性とほぼ同じように、関数クラスの VC 次元によって本質的に決定されることを示しました。
計算的に制限された設定では、同様の議論を使用して、効率的な PAC の学習可能性は効率的な防御可能性を意味しますが、その逆は意味しないことを示します。
一方、区別不可能性難読化を使用して、多項式サイズの回路のクラスが効率的に防御できないことを示します。
最後に、防御が学習よりも厳密に容易である自然な例として、多項式サイズの決定木を紹介します。
したがって、私たちは効率的な防御可能性を、効率的な学習可能性と難読化の間の注目すべき中間概念として特定します。

要約(オリジナル)

We introduce a formal notion of defendability against backdoors using a game between an attacker and a defender. In this game, the attacker modifies a function to behave differently on a particular input known as the ‘trigger’, while behaving the same almost everywhere else. The defender then attempts to detect the trigger at evaluation time. If the defender succeeds with high enough probability, then the function class is said to be defendable. The key constraint on the attacker that makes defense possible is that the attacker’s strategy must work for a randomly-chosen trigger. Our definition is simple and does not explicitly mention learning, yet we demonstrate that it is closely connected to learnability. In the computationally unbounded setting, we use a voting algorithm of Hanneke et al. (2022) to show that defendability is essentially determined by the VC dimension of the function class, in much the same way as PAC learnability. In the computationally bounded setting, we use a similar argument to show that efficient PAC learnability implies efficient defendability, but not conversely. On the other hand, we use indistinguishability obfuscation to show that the class of polynomial size circuits is not efficiently defendable. Finally, we present polynomial size decision trees as a natural example for which defense is strictly easier than learning. Thus, we identify efficient defendability as a notable intermediate concept in between efficient learnability and obfuscation.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google