UFID: A Unified Framework for Input-level Backdoor Detection on Diffusion Models

要約

拡散モデルはバックドア攻撃に対して脆弱であり、悪意のある攻撃者は学習段階で特定の学習サンプルをポイズニングすることでバックドアを注入します。これは、ユーザがAPIを通じて拡散モデルを問い合わせたり、インターネットから直接ダウンロードしたりするMaaS（Model-as-a-Service）シナリオにおいて、実世界のアプリケーションに重大な脅威をもたらします。MaaSにおけるバックドア攻撃の脅威を軽減するために、ブラックボックス入力レベルのバックドア検出が最近注目されている。伝統的な分類タスクに関するいくつかの予備的な探索にもかかわらず、(1)より多様な障害と(2)マルチモダリティ攻撃面という2つの大きな課題があるため、これらの手法を生成タスクに直接適用することはできない。本論文では、UFIDと呼ばれる拡散モデル上のブラックボックス入力レベルバックドア検知フレームワークを提案する。我々の防御は、洞察に満ちた因果分析によって動機付けられる：バックドア攻撃は交絡因子として機能し、入力画像からターゲット画像へのスプリアス経路を導入する。この直感を理論的分析でさらに検証する。条件付き拡散モデルと無条件拡散モデルの両方で、異なるデータセットにわたる広範な実験を行った結果、本手法が検出の有効性と実行時間効率において優れた性能を達成することが示された。

要約(オリジナル)

Diffusion models are vulnerable to backdoor attacks, where malicious attackers inject backdoors by poisoning certain training samples during the training stage. This poses a significant threat to real-world applications in the Model-as-a-Service (MaaS) scenario, where users query diffusion models through APIs or directly download them from the internet. To mitigate the threat of backdoor attacks under MaaS, black-box input-level backdoor detection has drawn recent interest, where defenders aim to build a firewall that filters out backdoor samples in the inference stage, with access only to input queries and the generated results from diffusion models. Despite some preliminary explorations on the traditional classification tasks, these methods cannot be directly applied to the generative tasks due to two major challenges: (1) more diverse failures and (2) a multi-modality attack surface. In this paper, we propose a black-box input-level backdoor detection framework on diffusion models, called UFID. Our defense is motivated by an insightful causal analysis: Backdoor attacks serve as the confounder, introducing a spurious path from input to target images, which remains consistent even when we perturb the input samples with Gaussian noise. We further validate the intuition with theoretical analysis. Extensive experiments across different datasets on both conditional and unconditional diffusion models show that our method achieves superb performance on detection effectiveness and run-time efficiency.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL