Influencer Backdoor Attack on Semantic Segmentation

要約

汚染された少数のサンプルがディープ ニューラル ネットワークのトレーニング データセットに注入されると、ネットワークは推論中に悪意のある動作を示すように誘導される可能性があり、これは現実世界のアプリケーションに潜在的な脅威をもたらします。
それらは分類で集中的に研究されてきましたが、セマンティック セグメンテーションに対するバックドア攻撃はほとんど見過ごされてきました。
分類とは異なり、セマンティック セグメンテーションは、特定の画像内のすべてのピクセルを分類することを目的としています。
この作業では、インフルエンサー バックドア攻撃 (IBA) と呼ばれる、推定中に被害者以外のピクセルに特定のトリガーを挿入することにより、被害者クラスのすべてのピクセルを誤分類するセグメンテーション モデルに対するバックドア攻撃を調査します。
IBA は、被害者以外のピクセルの分類精度を維持することが期待されており、すべての推論ですべての被害者ピクセルの分類を誤解させます。
具体的には、2 種類の IBA シナリオを検討します。つまり、1) 自由位置 IBA: トリガーを犠牲クラスのピクセルを除いて自由に配置できます。2) 長距離 IBA: トリガーを遠く離れた場所にのみ配置できます。
可能性のある実際的な制約を考慮して、被害者のピクセル。
セグメンテーション モデルのコンテキスト集約機能に基づいて、シナリオの IBA を改善する手法を提案します。
具体的には、自由位置 IBA の場合、汚染されたサンプルを作成するためのシンプルでありながら効果的な Nearest Neighbor トリガー注入戦略を提案します。
長距離 IBA の場合、新しいピクセル ランダム ラベリング戦略を提案します。
私たちの広範な実験により、現在のセグメンテーション モデルはバックドア攻撃に悩まされていることが明らかになり、提案された手法が攻撃のパフォーマンスをさらに向上させることができることが検証されました。

要約(オリジナル)

When a small number of poisoned samples are injected into the training dataset of a deep neural network, the network can be induced to exhibit malicious behavior during inferences, which poses potential threats to real-world applications. While they have been intensively studied in classification, backdoor attacks on semantic segmentation have been largely overlooked. Unlike classification, semantic segmentation aims to classify every pixel within a given image. In this work, we explore backdoor attacks on segmentation models to misclassify all pixels of a victim class by injecting a specific trigger on non-victim pixels during inferences, which is dubbed Influencer Backdoor Attack (IBA). IBA is expected to maintain the classification accuracy of non-victim pixels and misleads classifications of all victim pixels in every single inference. Specifically, we consider two types of IBA scenarios, i.e., 1) Free-position IBA: the trigger can be positioned freely except for pixels of the victim class, and 2) Long-distance IBA: the trigger can only be positioned somewhere far from victim pixels, given the possible practical constraint. Based on the context aggregation ability of segmentation models, we propose techniques to improve IBA for the scenarios. Concretely, for free-position IBA, we propose a simple, yet effective Nearest Neighbor trigger injection strategy for poisoned sample creation. For long-distance IBA, we propose a novel Pixel Random Labeling strategy. Our extensive experiments reveal that current segmentation models do suffer from backdoor attacks, and verify that our proposed techniques can further increase attack performance.

arxiv情報

著者 Haoheng Lan,Jindong Gu,Philip Torr,Hengshuang Zhao
発行日 2023-03-21 17:45:38+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CV パーマリンク