Rethinking Backdoor Attacks

解决问题:这篇论文试图解决后门攻击的问题。后门攻击是指攻击者在训练集中插入恶意构造的后门示例,使得生成的模型容易受到操纵。本文提出了一种新的方法来解决后门攻击问题。

关键思路:本文的关键思路是,如果没有关于训练数据分布的结构信息,后门攻击就无法与数据中自然存在的特征区分开来,因此无法在一般意义下“检测”这些攻击。然后,本文重新审视了现有的防御后门攻击的方法,并描述了它们所做的(通常是潜在的)假设和依赖。最后,本文探索了一种新的后门攻击视角:假设这些攻击对应于训练数据中最强的特征。在这个假设下,本文开发了一种新的用于检测后门攻击的原语。我们的原语自然地导致了一个检测算法,具有理论保证并在实践中有效。

其他亮点:本文的实验使用了MNIST和CIFAR-10数据集,并提供了开源代码。本文的方法为解决后门攻击问题提供了新的思路,值得进一步深入研究。

关于作者:本文的主要作者包括Alaa Khaddaj、Guillaume Leclerc、Aleksandar Makelov、Kristian Georgiev、Hadi Salman、Andrew Ilyas和Aleksander Madry。他们分别来自麻省理工学院和加拿大滑铁卢大学。Madry教授之前的代表作包括“Towards Deep Learning Models Resistant to Adversarial Attacks”和“Provable defenses against adversarial examples via the convex outer adversarial polytope”。

相关研究:近期其他相关的研究包括“Backdoor Attacks on Federated Learning”(作者:Xinyang Zhang、Yang Liu、Tianjian Chen、Qiang Yang;机构:香港科技大学)和“Defending Against Backdoor Attacks in Federated Learning with Robust Aggregation”(作者:Xiaoyu Liu、Yiwei Zhang、Xiaodong Wang、Tianjian Chen、Qiang Yang;机构:香港科技大学)。

论文摘要:在反门攻击中,攻击者会将恶意构造的反门示例插入到训练集中,使得生成的模型容易受到攻击。防御这种攻击通常需要将这些插入的示例视为训练集中的异常值,并使用鲁棒统计技术来检测和删除它们。 在这项工作中,我们提出了一种不同的反门攻击解决方案。具体而言,我们表明,如果没有关于训练数据分布的结构信息,反门攻击就与数据中自然发生的特征无法区分,因此在一般情况下不可能“检测”它们。然后,我们根据这个观察,重新审视现有的反门攻击防御措施,并描述它们所做的(通常是潜在的)假设和依赖。最后,我们探讨了反门攻击的另一种视角:假设这些攻击对应于训练数据中最强的特征。在这个假设下(我们将其形式化),我们开发了一种新的原语来检测反门攻击。我们的原语自然地导致了一个带有理论保证并在实践中有效的检测算法。

内容中包含的图片若涉及版权问题,请及时与我们联系删除