MASTERKEY: Practical Backdoor Attack Against Speaker Verification Systems

要約

話者認証 (SV) は、音声特性を使用して正当なユーザーを認証するために、モバイル システムに広く導入されています。
この研究では、SV モデルを侵害するためにバックドア攻撃 MASTERKEY を提案します。
これまでの攻撃とは異なり、攻撃者が意図した被害者について何も知らない現実世界の実践的な設定に焦点を当てています。
MASTERKEY を設計するために、目に見えないターゲットに対する既存のポイズニング攻撃の制限を調査します。
次に、任意のターゲットを攻撃できる汎用バックドアを最適化します。
次に、話者の特徴​​とセマンティクス情報をバックドアに埋め込み、認識できないようにします。
最後に、チャネルの歪みを推定し、それをバックドアに統合します。
人気の SV モデル 6 モデルに対する攻撃を検証します。
具体的には、合計 53 のモデルを汚染し、トリガーを使用して、53 の汚染されたモデルに登録されているターゲット スピーカー 310 人で構成される 16,430 人の登録スピーカーを攻撃します。
私たちの攻撃は、15% の毒率で 100% の攻撃成功率を達成します。
毒率を3%に下げることで、攻撃成功率は50%程度にとどまります。
私たちは 3 つの現実世界のシナリオで攻撃を検証し、無線と電話回線の両方のシナリオを通じて攻撃を実証しました。

要約(オリジナル)

Speaker Verification (SV) is widely deployed in mobile systems to authenticate legitimate users by using their voice traits. In this work, we propose a backdoor attack MASTERKEY, to compromise the SV models. Different from previous attacks, we focus on a real-world practical setting where the attacker possesses no knowledge of the intended victim. To design MASTERKEY, we investigate the limitation of existing poisoning attacks against unseen targets. Then, we optimize a universal backdoor that is capable of attacking arbitrary targets. Next, we embed the speaker’s characteristics and semantics information into the backdoor, making it imperceptible. Finally, we estimate the channel distortion and integrate it into the backdoor. We validate our attack on 6 popular SV models. Specifically, we poison a total of 53 models and use our trigger to attack 16,430 enrolled speakers, composed of 310 target speakers enrolled in 53 poisoned models. Our attack achieves 100% attack success rate with a 15% poison rate. By decreasing the poison rate to 3%, the attack success rate remains around 50%. We validate our attack in 3 real-world scenarios and successfully demonstrate the attack through both over-the-air and over-the-telephony-line scenarios.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google