SecureGaze: Defending Gaze Estimation Against Backdoor Attacks

要約

視線推定モデルは、ドライバーの注意監視や人間コンピューターの相互作用などのアプリケーションで広く使用されています。
視線の推定のための多くの方法は存在しますが、高性能を達成するためにデータに飢えた深い学習に大きく依存しています。
この信頼は、しばしば、実務家に未確認の公開データセットからのトレーニングデータを収穫すること、モデルトレーニングのアウトソーシング、または事前に訓練されたモデルに依存することを強制します。
ただし、そのような慣行は、視線の推定モデルをバックドア攻撃にさらす。
このような攻撃では、敵はトレーニングデータを中毒し、バックドアの脆弱性を作成することによりバックドアトリガーを注入します。モデルは良性の入力で正常に機能しますが、特定のトリガーが存在すると操作された視線の方向を生成します。
これにより、モデルがドライバーの注意の追跡に失敗するなど、多くの視線ベースのアプリケーションのセキュリティが損なわれます。
現在までに、視線推定モデルに対するバックドア攻撃に対処する防御はありません。
これに応じて、SecureGazeを紹介します。SecureGazeは、そのような攻撃から視線推定モデルを保護するために設計された最初のソリューションです。
分類モデルとは異なり、防御視線の推定は、その継続的な出力スペースとグローバルにアクティブ化されたバックドアの動作により、独自の課題をもたらします。
バックdoした視線推定モデルの特徴を識別することにより、信頼できるバックドア検出のためのトリガー関数をリバースエンジニアリングするための斬新で効果的なアプローチを開発します。
デジタルと物理の両方の世界での広範な評価は、Securegazeがさまざまなバックドア攻撃を効果的にカウンターし、分類モデルから適応した7つの最先端の防御を上回ることを示しています。

要約(オリジナル)

Gaze estimation models are widely used in applications such as driver attention monitoring and human-computer interaction. While many methods for gaze estimation exist, they rely heavily on data-hungry deep learning to achieve high performance. This reliance often forces practitioners to harvest training data from unverified public datasets, outsource model training, or rely on pre-trained models. However, such practices expose gaze estimation models to backdoor attacks. In such attacks, adversaries inject backdoor triggers by poisoning the training data, creating a backdoor vulnerability: the model performs normally with benign inputs, but produces manipulated gaze directions when a specific trigger is present. This compromises the security of many gaze-based applications, such as causing the model to fail in tracking the driver’s attention. To date, there is no defense that addresses backdoor attacks on gaze estimation models. In response, we introduce SecureGaze, the first solution designed to protect gaze estimation models from such attacks. Unlike classification models, defending gaze estimation poses unique challenges due to its continuous output space and globally activated backdoor behavior. By identifying distinctive characteristics of backdoored gaze estimation models, we develop a novel and effective approach to reverse-engineer the trigger function for reliable backdoor detection. Extensive evaluations in both digital and physical worlds demonstrate that SecureGaze effectively counters a range of backdoor attacks and outperforms seven state-of-the-art defenses adapted from classification models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google