Portes dérobées architecturales : une menace cachée dans les réseaux de neurones
Les portes dérobées architecturales posent de graves risques de sécurité dans les réseaux de neurones, restant souvent indétectées.
― 5 min lire
Table des matières
Des études récentes ont montré que les réseaux neuronaux peuvent être détournés sans changer leurs données d'entraînement. Un gros problème, c’est une menace cachée connue sous le nom de backdoors architecturaux. Ces backdoors sont ajoutées directement à la structure du réseau, en utilisant des composants de base comme des fonctions d’activation ou des couches de pooling. Même après qu'un modèle ait été réentraîné, ces backdoors peuvent rester invisibles, causant des soucis de sécurité sérieux.
Contexte
Dans les attaques par backdoor traditionnelles, les adversaires changent les données d’entraînement pour que le modèle apprenne des motifs spécifiques appelés Déclencheurs. Quand un déclencheur est ajouté à une entrée normale, le modèle peut donner des sorties inattendues. Des recherches récentes ont découvert que les adversaires peuvent aussi cacher des backdoors dans l'architecture même du réseau neuronal. Ça veut dire que les attaquants n'ont besoin que de changer la Structure du Modèle, souvent négligée durant le développement du modèle.
Une des premières études sur les backdoors architecturaux a montré une méthode pour créer un type spécifique de backdoor. Cependant, elle manquait de la capacité à cibler différents déclencheurs. Notre travail se concentre sur le développement d’un système plus flexible qui peut détecter n'importe quel déclencheur choisi sans avoir besoin de supervision humaine.
Mécanisme d'attaque
Dans cette étude, nous avons construit une méthode pour détecter divers déclencheurs qui peuvent être intégrés dans l'architecture du modèle. Nous catégorisons ces backdoors selon comment elles détectent les déclencheurs, comment elles transmettent le signal de déclenchement, et comment elles intègrent ce signal dans le modèle. Notre étude a trouvé que les développeurs en machine learning ne peuvent identifier des composants suspects comme des backdoors qu’environ 37% du temps. Étonnamment, dans 33% des cas, les développeurs semblaient préférer des modèles contenant des backdoors.
Étude utilisateur
Pour évaluer la détection humaine des backdoors architecturaux, nous avons réalisé une étude utilisateur avec des praticiens en machine learning. Les participants ont été montrés des paires d'architectures de modèles et ont dû choisir leur modèle préféré, tout en fournissant des raisons pour leurs choix. Les retours ont montré que les utilisateurs étaient plus influencés par des facteurs comme le style de codage que par la présence de backdoors.
Dans une autre partie de l'étude, les participants ont examiné une architecture de réseau à la recherche de composants suspects. Globalement, ils ont eu du mal à identifier des backdoors, confondant souvent des parties bénignes du modèle avec des éléments suspects. Cela montre que beaucoup d'utilisateurs manquent de la capacité à détecter de manière fiable des backdoors architecturaux.
Mécanismes de défense
On décrit plusieurs stratégies pour aider à se protéger contre les backdoors architecturaux, comme :
- Inspection Visuelle : Utiliser des outils de visualisation pour analyser la structure du modèle et identifier les différences dans les itinéraires de signal.
- Sandboxing : Créer une couche autour du réseau pour neutraliser les déclencheurs avant qu'ils ne puissent activer des backdoors.
- Provenance : S'assurer que tous les composants du modèle sont vérifiés et authentifiés pour éviter les ajouts malveillants.
Conclusion
L'existence de backdoors architecturaux soulève de sérieuses questions sur la sécurité des modèles de machine learning. Nos découvertes mettent en avant la nécessité d'une plus grande sensibilisation et de défenses robustes contre ces menaces. Les modèles futurs pourraient devenir encore plus difficiles à inspecter, rendant essentiel le développement de meilleures méthodes de détection et de prévention.
Impact sur le Machine Learning
Le potentiel des backdoors architecturaux à affecter le machine learning est significatif. Comprendre comment ils fonctionnent est crucial pour créer des systèmes plus sécurisés. Avec la complexité croissante des architectures de modèles, il est vital de maintenir une supervision et une vérification appropriées tout au long du processus de développement.
Recherche Future
D'autres recherches sont nécessaires pour explorer différentes méthodes d'injection de backdoors et comprendre les implications pour la sécurité du machine learning. La flexibilité de ces backdoors suggère que de nouvelles stratégies pourraient devoir être développées pour anticiper les menaces potentielles.
Notes Finales
Alors que le machine learning continue de prendre de l'importance, comprendre et atténuer les risques comme les backdoors architecturaux sera essentiel pour garantir l'intégrité et la fiabilité des systèmes d'IA. En améliorant la sensibilisation et en développant des défenses complètes, nous pouvons aider à protéger ces technologies contre l'exploitation.
Titre: Architectural Neural Backdoors from First Principles
Résumé: While previous research backdoored neural networks by changing their parameters, recent work uncovered a more insidious threat: backdoors embedded within the definition of the network's architecture. This involves injecting common architectural components, such as activation functions and pooling layers, to subtly introduce a backdoor behavior that persists even after (full re-)training. However, the full scope and implications of architectural backdoors have remained largely unexplored. Bober-Irizar et al. [2023] introduced the first architectural backdoor; they showed how to create a backdoor for a checkerboard pattern, but never explained how to target an arbitrary trigger pattern of choice. In this work we construct an arbitrary trigger detector which can be used to backdoor an architecture with no human supervision. This leads us to revisit the concept of architecture backdoors and taxonomise them, describing 12 distinct types. To gauge the difficulty of detecting such backdoors, we conducted a user study, revealing that ML developers can only identify suspicious components in common model definitions as backdoors in 37% of cases, while they surprisingly preferred backdoored models in 33% of cases. To contextualize these results, we find that language models outperform humans at the detection of backdoors. Finally, we discuss defenses against architectural backdoors, emphasizing the need for robust and comprehensive strategies to safeguard the integrity of ML systems.
Auteurs: Harry Langford, Ilia Shumailov, Yiren Zhao, Robert Mullins, Nicolas Papernot
Dernière mise à jour: 2024-02-10 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2402.06957
Source PDF: https://arxiv.org/pdf/2402.06957
Licence: https://creativecommons.org/licenses/by-nc-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://github.com/google/model-transparency
- https://anonymous.4open.science/r/logicdiscovery-BE15/README.md
- https://anonymous.4open.science/r/userstudy-00D5
- https://github.com/mxbi/backdoor
- https://anonymous.4open.science/r/userstudy-00D5/
- https://www.dropbox.com/s/
- https://arxiv.org/abs/2103.14030
- https://www.dropbox.com/s/47tyzpofuuyyv1b/mobilenetv2_1.0-f2a8633.pth.tar?dl=1
- https://github.com/pytorch/vision/blob/main/torchvision/models/resnet.py
- https://catalog.ngc.nvidia.com/orgs/nvidia/resources/resnet_50_v1_5_for_pytorch
- https://github.com/kuangliu/pytorch-cifar/blob/master/models/resnet.py
- https://anonymous.4open.science/r/resnet-cifar-taxonomy-5005/README.md
- https://github.com/d-li14/mobilenetv3.pytorch/blob/master/mobilenetv3.py
- https://github.com/d-li14/mobilenetv3.pytorch/