Améliorer les attaques de backdoor avec la sélection d'échantillons
Une nouvelle stratégie améliore l'efficacité des attaques par porte dérobée grâce à une sélection d'échantillons plus intelligente.
― 8 min lire
Table des matières
Les attaques par backdoor sont une menace en apprentissage machine où un attaquant intègre un "backdoor" caché dans un modèle. Ça se fait en manipulant les données d'entraînement sans contrôler comment le modèle apprend. L'idée, c'est que le modèle se comporte normalement en général, mais réagit d'une certaine manière quand des déclencheurs spécifiques sont utilisés.
Dans les méthodes traditionnelles d'attaques par backdoor, l'accent est souvent mis sur la création de déclencheurs ou leur mélange avec des données normales. Cependant, beaucoup de ces méthodes choisissent aléatoirement quelles Échantillons de données empoisonner sans considérer l'importance de chaque échantillon pour le processus du backdoor. Ça peut mener à des inefficacités et à des attaques moins efficaces.
Problème avec les Méthodes Actuelles
La plupart des attaques par backdoor aujourd'hui ne prennent pas en compte que différents échantillons ont des poids différents pour réussir à intégrer un backdoor. Certaines méthodes tentent de suivre combien le modèle oublie certains échantillons, mais ça nécessite beaucoup de puissance de calcul et peut être impraticable.
Donc, trouver un meilleur moyen de choisir quels échantillons empoisonner dans un ensemble de données complet est crucial pour les attaques par backdoor.
Solution Proposée
Pour améliorer le processus de Sélection des échantillons pour les attaques par backdoor, une nouvelle approche est introduite, utilisant un masque d'Empoisonnement dans la perte d'entraînement. L'idée, c'est que si des échantillons difficiles sont utilisés dans le processus d'entraînement, l'effet backdoor devient plus marqué sur des échantillons plus faciles.
La méthode implique un processus d'entraînement en deux étapes. La première étape minimise la perte basée sur des échantillons sélectionnés pour atteindre l'objectif du backdoor. La seconde étape se concentre sur la maximisation de la perte pour identifier les échantillons difficiles qui entravent l'attaque. De cette façon, le modèle apprend quels échantillons empoisonner plus efficacement.
Après plusieurs étapes de cet entraînement, le résultat est un ensemble d'échantillons empoisonnés qui contribuent de manière significative à l'attaque par backdoor.
Méthodes de Collecte de Données
Entraîner de grands modèles d'apprentissage machine nécessite souvent des ensembles de données étendus. Cependant, collecter ou étiqueter ces données peut être cher. En conséquence, les utilisateurs se tournent parfois vers des ensembles de données publics ou des sources tierces, ce qui peut comporter des risques. Utiliser des données non vérifiées peut exposer les modèles à des attaques par backdoor. Un adversaire pourrait manipuler juste quelques échantillons pour créer un modèle qui fonctionne bien sur des données normales mais se comporte malicieusement quand il est déclenché.
Plusieurs méthodes significatives de backdoor ont montré des taux de succès élevés tout en maintenant une précision respectable sur des échantillons propres. La plupart des stratégies disponibles se concentrent sur la conception de différents déclencheurs ou leur combinaison avec des échantillons bénins.
Cependant, ces stratégies utilisent souvent une sélection aléatoire pour les échantillons bénins qui seront empoisonnés, ignorant que certains échantillons ont un impact plus grand sur la performance du modèle que d'autres.
Importance de la Sélection des Échantillons
Des recherches montrent que toutes les données ne sont pas également utiles pour entraîner des modèles d'apprentissage machine. Certains échantillons portent plus de poids ou fournissent des informations plus riches que d'autres. Par conséquent, employer des stratégies intelligentes pour choisir quels échantillons bénins empoisonner pourrait considérablement améliorer l'efficacité des attaques par backdoor.
À ce jour, il n'y a eu que peu de recherches sur ce sujet, avec une seule méthode principalement axée sur le filtrage des échantillons à sélectionner pour l'empoisonnement. Les méthodes de filtrage actuelles manquent souvent de nombreux échantillons potentiellement précieux en dehors de leur petit pool de sélection et peuvent entraîner des coûts de calcul élevés.
Stratégie Apprenante de Sélection d'Échantillons Poisonnés
Une nouvelle stratégie apprenante de sélection d'échantillons empoisonnés est présentée, qui s'appuie sur des déclencheurs, des tactiques de fusion et des données bénignes. Le principe de base est que si des backdoors peuvent être efficacement implantés en utilisant des échantillons difficiles, alors le modèle peut être entraîné à généraliser ce comportement backdoor sur des échantillons plus faciles.
Le processus de sélection est encadré comme une optimisation min-max. La boucle interne aide à localiser les échantillons difficiles pour le modèle, tandis que la boucle externe met à jour les paramètres du modèle pour assurer une base solide pour le backdoor. En optimisant à plusieurs reprises à travers ce processus, l'objectif est de créer un ensemble d'échantillons empoisonnés précieux qui serviront au backdoor.
Cette approche devrait s'intégrer parfaitement dans les attaques par backdoor existantes, ce qui la rend polyvalente et facile à mettre en œuvre.
Évaluation de l'Efficacité
Pour tester l'efficacité de la nouvelle stratégie de sélection, des comparaisons sont faites avec des méthodes existantes. Les évaluations se font sur divers ensembles de données et attaques par backdoor. Les résultats montrent que cette nouvelle stratégie offre d'importantes améliorations par rapport à la sélection aléatoire d'échantillons et aux anciennes méthodes de filtrage, tout en réduisant les coûts de calcul.
Paramètres Expérimentaux
Dans les expériences, trois ensembles de données populaires sont utilisés. Les tests comparent la nouvelle stratégie avec des méthodes communes de sélection d'échantillons. L'accent est mis sur la performance des attaques dans différentes conditions, comme la variation du nombre d'échantillons empoisonnés.
Performance de l'Attaque
Les résultats indiquent que cette nouvelle stratégie de sélection d'échantillons empoisonnés surpasse constamment les autres. Lors de l'examen de faibles ratios de poisoning, la stratégie délivre toujours des résultats compétitifs. À mesure que le ratio d'empoisonnement augmente, les avantages de cette nouvelle approche deviennent encore plus évidents à travers différents types de backdoor.
Résistance aux Défenses
La nouvelle méthode est également évaluée contre plusieurs défenses établies. Les résultats indiquent que cette approche de sélection rend les attaques plus résilientes face aux tactiques défensives, montrant son potentiel comme méthode durable et efficace dans le paysage évolutif de la sécurité en apprentissage machine.
Comprendre les Limites
Bien que la nouvelle stratégie montre du potentiel, elle a des limites. Particulièrement dans des scénarios avec des ratios d'empoisonnement très bas, les améliorations sont moins impactantes à cause de l'information limitée disponible dans les quelques échantillons empoisonnés. Ça soulève l'idée que travailler sur la sélection des échantillons et l'apprentissage des déclencheurs ensemble pourrait donner des résultats encore meilleurs dans les recherches futures.
En plus, bien que la nouvelle stratégie soit spécifiquement conçue pour les attaques par backdoor basées sur l'empoisonnement des données, adapter des méthodes similaires pour former des attaques par backdoor contrôlables mérite aussi d'être exploré.
Impacts Plus Larges
La stratégie de sélection d'échantillons proposée met en lumière une préoccupation pressante : comme cette méthode pourrait facilement être employée par des acteurs malveillants pour améliorer leurs attaques, cela souligne le besoin urgent de meilleures méthodes défensives et de stratégies de détection pour protéger les systèmes d'apprentissage machine.
Conclusion
En résumé, ce travail identifie un aspect souvent négligé des attaques par backdoor basées sur l'empoisonnement des données. La nouvelle stratégie de sélection d'échantillons empoisonnés apprenante vise à améliorer les méthodes existantes et à démontrer que la sélection réfléchie des échantillons peut considérablement améliorer les attaques par backdoor.
Les résultats expérimentaux confirment son efficacité et son efficience, suggérant une voie à suivre pour affiner de telles approches, relever les défis et explorer leur potentiel pour une application plus large dans la sécurité en apprentissage machine.
Titre: Boosting Backdoor Attack with A Learnable Poisoning Sample Selection Strategy
Résumé: Data-poisoning based backdoor attacks aim to insert backdoor into models by manipulating training datasets without controlling the training process of the target model. Existing attack methods mainly focus on designing triggers or fusion strategies between triggers and benign samples. However, they often randomly select samples to be poisoned, disregarding the varying importance of each poisoning sample in terms of backdoor injection. A recent selection strategy filters a fixed-size poisoning sample pool by recording forgetting events, but it fails to consider the remaining samples outside the pool from a global perspective. Moreover, computing forgetting events requires significant additional computing resources. Therefore, how to efficiently and effectively select poisoning samples from the entire dataset is an urgent problem in backdoor attacks.To address it, firstly, we introduce a poisoning mask into the regular backdoor training loss. We suppose that a backdoored model training with hard poisoning samples has a more backdoor effect on easy ones, which can be implemented by hindering the normal training process (\ie, maximizing loss \wrt mask). To further integrate it with normal training process, we then propose a learnable poisoning sample selection strategy to learn the mask together with the model parameters through a min-max optimization.Specifically, the outer loop aims to achieve the backdoor attack goal by minimizing the loss based on the selected samples, while the inner loop selects hard poisoning samples that impede this goal by maximizing the loss. After several rounds of adversarial training, we finally select effective poisoning samples with high contribution. Extensive experiments on benchmark datasets demonstrate the effectiveness and efficiency of our approach in boosting backdoor attack performance.
Auteurs: Zihao Zhu, Mingda Zhang, Shaokui Wei, Li Shen, Yanbo Fan, Baoyuan Wu
Dernière mise à jour: 2023-07-14 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2307.07328
Source PDF: https://arxiv.org/pdf/2307.07328
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.