PECAN: A Deterministic Certified Defense Against Backdoor Attacks

要約

ニューラル ネットワークは、バックドア ポイズニング攻撃に対して脆弱です。この攻撃では、攻撃者が悪意を持ってトレーニング セットをポイズニングし、テスト入力にトリガーを挿入して被害者モデルの予測を変更します。
バックドア攻撃に対する既存の防御策は、正式な保証を提供していないか、計算コストが高く非効果的な確率的な保証を提供しています。
バックドア攻撃を防御するための効率的で認定されたアプローチである PECAN を紹介します。
PECAN を強化する重要な洞察は、データの互いに素なパーティションでトレーニングされた一連のニューラル ネットワークに、既製のテスト時回避認定技術を適用することです。
画像分類とマルウェア検出データセットに関して PECAN を評価します。
私たちの結果は、PECAN が (1) 防御強度と効率の両方において、最先端の認定バックドア防御を大幅に上回っていること、および (2) 実際のバックドア攻撃において、PECAN が攻撃の成功率を 1 桁も下げることができることを示しています。
文献からのベースラインの範囲と比較したときのマグニチュード。

要約(オリジナル)

Neural networks are vulnerable to backdoor poisoning attacks, where the attackers maliciously poison the training set and insert triggers into the test input to change the prediction of the victim model. Existing defenses for backdoor attacks either provide no formal guarantees or come with expensive-to-compute and ineffective probabilistic guarantees. We present PECAN, an efficient and certified approach for defending against backdoor attacks. The key insight powering PECAN is to apply off-the-shelf test-time evasion certification techniques on a set of neural networks trained on disjoint partitions of the data. We evaluate PECAN on image classification and malware detection datasets. Our results demonstrate that PECAN can (1) significantly outperform the state-of-the-art certified backdoor defense, both in defense strength and efficiency, and (2) on real back-door attacks, PECAN can reduce attack success rate by order of magnitude when compared to a range of baselines from the literature.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google