BadHash: Invisible Backdoor Attacks against Deep Hashing with Clean Label

要約

ディープハッシングは、その強力な特徴学習能力と高い効率性により、大規模な画像検索において大きな成功を収めています。一方、ディープニューラルネットワーク(DNN)が敵対的な事例に弱いことは広範な研究により証明されており、ディープハッシングに対する敵対的な攻撃を探ることは多くの研究努力を集めています。しかし、DNNに対するもう一つの脅威として有名なバックドア攻撃は、ディープハッシングに対してまだ研究されていません。画像分類の分野では様々なバックドア攻撃が提案されているが、既存のアプローチでは、見えないトリガーときれいなラベル設定を同時に享受する真に不感応なバックドア攻撃を実現できず、また画像検索のバックドアという本質的な要求にも応えられないでいる。 本論文では、ディープハッシュに対する初の生成ベースの不感症バックドア攻撃であるBadHashを提案し、クリーンラベルを持つ不可視かつ入力特異的な毒画像を効果的に生成することができる。具体的には、まず、新しい条件付き生成敵対ネットワーク(cGAN)パイプラインを提案し、効果的に毒画像を生成する。このパイプラインは、与えられた良性画像に対して、自然な見た目の毒画像を生成し、その毒画像に固有の不可視のトリガーをかけることを目的としています。さらに、ラベルベースのコントラスト学習ネットワークLabCLNを導入し、異なるラベルの意味的特性を利用することで、ターゲットモデルを混乱させ、誤解を与えて、埋め込まれたトリガーを学習させる。最後に、ハッシュ空間における画像検索に対するバックドア攻撃のメカニズムを探る。複数のベンチマークデータセットに対する広範な実験により、BadHashは強力な攻撃能力と最先端のディープハッシュスキームに対する移植性を備えた、感知不可能な毒入りサンプルを生成できることを検証する。

要約(オリジナル)

Due to its powerful feature learning capability and high efficiency, deep hashing has achieved great success in large-scale image retrieval. Meanwhile, extensive works have demonstrated that deep neural networks (DNNs) are susceptible to adversarial examples, and exploring adversarial attack against deep hashing has attracted many research efforts. Nevertheless, backdoor attack, another famous threat to DNNs, has not been studied for deep hashing yet. Although various backdoor attacks have been proposed in the field of image classification, existing approaches failed to realize a truly imperceptive backdoor attack that enjoys invisible triggers and clean label setting simultaneously, and they also cannot meet the intrinsic demand of image retrieval backdoor. In this paper, we propose BadHash, the first generative-based imperceptible backdoor attack against deep hashing, which can effectively generate invisible and input-specific poisoned images with clean label. Specifically, we first propose a new conditional generative adversarial network (cGAN) pipeline to effectively generate poisoned samples. For any given benign image, it seeks to generate a natural-looking poisoned counterpart with a unique invisible trigger. In order to improve the attack effectiveness, we introduce a label-based contrastive learning network LabCLN to exploit the semantic characteristics of different labels, which are subsequently used for confusing and misleading the target model to learn the embedded trigger. We finally explore the mechanism of backdoor attacks on image retrieval in the hash space. Extensive experiments on multiple benchmark datasets verify that BadHash can generate imperceptible poisoned samples with strong attack ability and transferability over state-of-the-art deep hashing schemes.

arxiv情報

著者 Shengshan Hu,Ziqi Zhou,Yechao Zhang,Leo Yu Zhang,Yifeng Zheng,Yuanyuan HE,Hai Jin
発行日 2022-07-04 02:02:12+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, DeepL

カテゴリー: cs.CV パーマリンク