BELT: Old-School Backdoor Attacks can Evade the State-of-the-Art Defense with Backdoor Exclusivity Lifting

要約

ディープ ニューラル ネットワーク (DNN) は、攻撃者が誤った分類を引き起こすことを可能にする悪意のある機能が組み込まれているバックドア攻撃の影響を受けやすくなっています。
昔ながらのバックドア攻撃では、被害者モデルが簡単に学習できる強力なトリガー機能が使用されます。
入力変動に対する堅牢性にもかかわらず、その堅牢性により、意図しないトリガーのアクティブ化の可能性が高まります。
これにより、既存の防御の痕跡が残り、リバース エンジニアリングやサンプル オーバーレイなどを介して、元のトリガーと同一でなくてもバックドアを起動できる元のトリガーのおおよその代替物が見つかります。
この論文では、バックドア攻撃の新しい特性、すなわちバックドア排他性を提案し、調査します。これは、入力変動が存在する場合でもバックドア トリガーが有効であり続ける能力を測定します。
バックドア排他性の概念に基づいて、バックドア排他性リフティング (BELT) を提案します。これは、バックドアとファジー トリガーの関連付けを抑制し、防御回避のためのバックドア排他性を強化する新しい技術です。
3 つの人気のあるバックドア ベンチマークの広範な評価により、私たちのアプローチは 4 つの昔ながらのバックドア攻撃のステルス性を大幅に強化し、バックドアの独占性が解除された後は、ほとんどコストをかけずに 6 つの最先端のバックドア対策を回避できることが実証されました。
攻撃成功率と通常のユーティリティ。
たとえば、初期のバックドア攻撃の 1 つである BadNet は、BELT によって強化されており、バックドア モデルを認識する ABS や MOTH などの最先端の防御手段のほとんどを回避します。

要約(オリジナル)

Deep neural networks (DNNs) are susceptible to backdoor attacks, where malicious functionality is embedded to allow attackers to trigger incorrect classifications. Old-school backdoor attacks use strong trigger features that can easily be learned by victim models. Despite robustness against input variation, the robustness however increases the likelihood of unintentional trigger activations. This leaves traces to existing defenses, which find approximate replacements for the original triggers that can activate the backdoor without being identical to the original trigger via, e.g., reverse engineering and sample overlay. In this paper, we propose and investigate a new characteristic of backdoor attacks, namely, backdoor exclusivity, which measures the ability of backdoor triggers to remain effective in the presence of input variation. Building upon the concept of backdoor exclusivity, we propose Backdoor Exclusivity LifTing (BELT), a novel technique which suppresses the association between the backdoor and fuzzy triggers to enhance backdoor exclusivity for defense evasion. Extensive evaluation on three popular backdoor benchmarks validate, our approach substantially enhances the stealthiness of four old-school backdoor attacks, which, after backdoor exclusivity lifting, is able to evade six state-of-the-art backdoor countermeasures, at almost no cost of the attack success rate and normal utility. For example, one of the earliest backdoor attacks BadNet, enhanced by BELT, evades most of the state-of-the-art defenses including ABS and MOTH which would otherwise recognize the backdoored model.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google