×
冯、乐;钱振兴;张新鹏;李胜

未标记的后门中毒,在经过培训的自由克拉奇半监督学习中。 (英语) Zbl 07735590号

信息科学。 647,文章ID 119453,17 p.(2023).
总结:半监督学习(SSL)旨在通过仅标注几个培训示例来实现竞争绩效。然而,来自野外的未标记训练实例很容易受到后门中毒的影响。因此,由SSL训练的网络往往会注入后门。大多数现有的后门攻击都集中在标记的示例上,而一些针对未标记示例的后门中毒方法要求SSL网络必须对标记的示例进行预解释。在这篇文章中,我们提出了一种针对训练from-scratch SSL网络的未标记示例的后门中毒方法。我们发现,当中毒的未标记样本来自不同类别时,后门中毒总是失败,这与中毒标记样本不同。原因是SSL算法总是在训练期间努力纠正它们。因此,对于未标记的示例,我们在目标类的示例上实现后门中毒。我们提出了一种梯度匹配策略来构造中毒示例,使其梯度与SSL网络上目标示例的梯度相匹配。这可以将中毒示例匹配到目标类,并实现后门注入。实验表明,我们的中毒在大多数SSL算法上实现了最先进的攻击成功率,同时确保了后门模式的不可察觉性并绕过了现代后门防御。

MSC公司:

68T05型 人工智能中的学习和自适应系统

关键词:

后门;经过训练的from crach;半监督学习;梯度匹配

软件:

修复匹配;PyTorch公司;CIFAR公司;t-SNE公司;梯度-CAM;掌中宽带;初始-v4;SimCLR(模拟清除);MixMatch(混合匹配);重新混合匹配
PDF格式BibTeX公司 XML格式引用
\textit{L.Feng}等人,《信息科学》。647,文章ID 119453,17 p.(2023;Zbl 07735590)
全文: 内政部

参考文献:

[1] Berthelot,D。;卡里尼,N。;库布克,E.D。;库拉金,A。;Sohn,K。;张,H。;Raffel,C.,《Remixmatch:具有分布匹配和增强锚定的半监督学习》(国际学习代表大会(ICLR),2019年)
[2] Berthelot,D。;卡里尼,N。;古德费罗,I。;Papernot,N。;奥利弗。;Raffel,C.A.,混合匹配:半监督学习的整体方法,(神经信息处理系统进展(NIPS)(2019)),5050-5060
[3] 陈,B。;卡瓦略,W。;北卡罗来纳州巴拉卡多。;路德维希,H。;爱德华兹,B。;Lee,T.等人。;莫洛伊,I。;Srivastava,B.,通过激活聚类检测对深层神经网络的后门攻击(SafeAI@AAAI (2019))
[4] 陈,H。;傅,C。;赵,J。;Koushanfar,F.,Deepinspect:深度神经网络的黑盒木马检测和缓解框架,(国际人工智能联合会议(IJCAI)(2019)),4658-4664
[5] Chen,T。;Kornblith,S。;诺鲁齐,M。;Hinton,G.,《视觉表征对比学习的简单框架》,(国际机器学习会议(ICML)(2020)),1597-1607
[6] Doan,K。;Lao,Y。;赵伟。;Li,P.,Lira:可学习、不可察觉和鲁棒的后门攻击,(IEEE/CVF国际计算机视觉会议(CVPR)(2021)),11966-11976
[7] Dong,Y。;杨,X。;邓,Z。;Pang,T。;肖,Z。;苏,H。;Zhu,J.,有限信息和数据后门攻击的黑盒检测,(IEEE/CVF国际计算机视觉会议(CVPR)(2021)),16482-16491
[8] 高,Y。;徐,C。;王,D。;陈,S。;拉纳辛格特区。;尼泊尔,S.,Strip:防御对深层神经网络的木马攻击,(计算机安全应用年度会议(ACSAC)(2019)),113-125
[9] Gidaris,S。;辛格,P。;Komodakis,N.,《通过预测图像旋转进行无监督表征学习》(学习表征国际会议(ICLR),2018年)
[10] 顾,T。;刘凯。;Dolan-Gavitt,B。;Garg,S.,《Badnets:评估对深层神经网络的后门攻击》,IEEE Access,747230-47244(2019)
[11] 郭杰。;李,A。;Liu,C.,Aeva:使用对抗性极值分析的黑盒后门检测(2021),预打印
[12] He,K。;张,X。;任,S。;Sun,J.,图像识别的深度残差学习,(IEEE计算机视觉和模式识别会议(CVPR)(2016)),770-778
[13] Hore,A。;Ziou,D.,图像质量度量:psnr vs.ssim,(国际模式识别会议(2010)),2366-2369
[14] iBelieveCJM:半监督深度学习的技巧(2020)
[15] 伊森,A。;托利亚斯,G。;Avrithis,Y。;Chum,O.,深度半监督学习的标签传播,(IEEE/CVF计算机视觉和模式识别会议(2019)),5070-5079
[16] Krizhevsky,A。;Hinton,G.,《从微小图像中学习多层特征》(2009年)
[17] 莱恩,S。;Aila,T.,《半监督学习的时间整合》(2016),预印本
[18] LeCun,Y。;博图,L。;Y.本吉奥。;Haffner,P.,《基于梯度的学习应用于文档识别》,Proc。IEEE,8622278-2324(1998年)
[19] Lee,D.H.,Pseudo-label:深度神经网络的简单高效半监督学习方法,(表征学习挑战研讨会,ICML,第3卷(2013)),896
[20] 李,X。;陈,Z。;Zhao,Y。;唐,Z。;Zhao,Y。;A.Lim。;周,J.T.,《Pointba:面对三维点云中的后门攻击》(IEEE/CVF国际计算机视觉会议(CVPR)(2021)),16492-16501
[21] 李毅。;李毅。;吴,B。;李,L。;He,R。;Lyu,S.,《使用样本特定触发器的隐形后门攻击》(IEEE国际计算机视觉会议(ICCV)(2021)),16463-16472
[22] 刘凯。;Dolan-Gavitt,B。;Garg,S.,《精细修剪:防御对深层神经网络的后门攻击》,(攻击、入侵和防御研究国际研讨会(2018)),273-294
[23] 刘,Y。;马,X。;Bailey,J。;Lu,F.,反射后门:对深层神经网络的自然后门攻击,(欧洲计算机视觉会议(2020)),182-199
[24] 范德马滕,L。;Hinton,G.,《使用t-sne可视化数据》,J.Mach。学习。第9、11号决议(2008年)·Zbl 1225.68219号
[25] Mahajan,D。;Girshick,R。;拉马纳森五世。;He,K。;巴鲁里,M。;李毅。;巴兰贝,A。;Van Der Maaten,L.,探索弱监督预处理的极限,(欧洲计算机视觉会议(ECCV)(2018)),181-196
[26] 宫城县。;Maeda,M。;Koyama,S.i.公司。;Ishii,S.,《虚拟对抗训练:监督和半监督学习的正则化方法》,IEEE Trans。模式分析。机器。智力。,41, 8, 1979-1993 (2018)
[27] Netzer,Y。;Wang,T。;科茨,A。;比萨科,A。;吴,B。;Ng,A.Y.,使用无监督特征学习读取自然图像中的数字(2011年)
[28] Nguyen,T.A。;Tran,A.,输入软件动态后门攻击,(神经信息处理系统(NIPS)进展(2020)),3454-3464
[29] Nguyen,T.A。;Tran,A.T.,基于Wanet不可察觉扭曲的后门攻击,(国际学习表征会议(ICLR)(2020))
[30] Pham,H。;戴,Z。;谢奇。;Le,Q.V.,元伪标签,(IEEE/CVF计算机视觉和模式识别会议(2021)),11557-11568
[31] Rasmus,A。;Berglund,M。;Honkala,M。;瓦尔波拉,H。;Raiko,T.,梯形网络半监督学习,(神经信息处理系统(NIPS)进展(2015)),3546-3554
[32] 雷德蒙,J。;迪瓦拉,S。;Girshick,R。;Farhadi,A.,你只看一次:统一的实时物体检测,(IEEE计算机视觉和模式识别会议(CVPR)(2016)),779-788
[33] O.Ronneberger。;菲舍尔,P。;Brox,T.,U-net:用于生物医学图像分割的卷积网络,(国际医学图像计算和计算机辅助干预会议(2015)),234-241
[34] 萨哈,A。;Tejankar,A。;Koohpayagani,S.A。;Pirsiavash,H.,《自导学习的后门攻击》,(IEEE/CVF计算机视觉和模式识别会议(CVPR)(2022)),13337-13346
[35] 塞勒姆,A。;温·R。;Backes,M。;马,S。;Zhang,Y.,针对机器学习模型的动态后门攻击(2020),预印本
[36] Selvaraju,R.R。;Cogswell,M。;Das,A。;韦丹坦,R。;Parikh,D。;Batra,D.,Grad-cam:通过基于梯度的本地化从深层网络中进行可视化解释,(IEEE国际计算机视觉会议(ICCV)(2017)),618-626
[37] Sohn,K。;Berthelot,D。;卡里尼,N。;张,Z。;张,H。;拉斐尔,C.A。;库布克,E.D。;Kurakin,A。;Li,C.L.,《Fixmatch:以一致性和信心简化半监督学习》,(神经信息处理系统(NIPS)进展(2020)),596-608
[38] Suzuki,T.,pytorch半监督学习的一致性正则化(2020)
[39] 塞格迪,C。;洛夫,S。;Vanhoucke,V。;Alemi,A.A.,《Inception-v4,Inception-resnet和剩余联系对学习的影响》,(AAAI人工智能会议(2017)),4278-4284
[40] Tarvainen,A。;Valpola,H.,Mean教师是更好的榜样:加权一致性目标改善了半监督的深度学习结果,(神经信息处理系统(NIPS)进展(2017)),1195-1204
[41] 特纳,A。;Tsipras,D。;Madry,A.,标签一致性后门攻击(2019年),预印本
[42] 维玛,V。;川口,K。;兰姆,A。;坎纳拉,J。;Y.本吉奥。;Lopez-Paz,D.,半监督学习的插值一致性训练(2019),预印本
[43] 王,B。;姚明,Y。;Shan,S。;李,H。;维斯瓦纳特,B。;郑浩。;Zhao,B.Y.,《神经净化:识别和缓解神经网络中的后门攻击》(IEEE安全与隐私研讨会(2019)),707-723
[44] 王,R。;张,G。;刘,S。;陈,P.Y。;熊,J。;Wang,M.,特洛伊木马神经网络的实际检测:数据限制和无数据情况,(欧洲计算机视觉会议(ECCV)(2020)),222-238
[45] 谢奇。;戴,Z。;霍维,E。;Luong,T.等人。;Le,Q.,用于一致性训练的无监督数据增强,(神经信息处理系统(NIPS)进展(2020)),6256-6268
[46] 严,Z。;Li,G.等人。;田,Y。;吴杰。;李,S。;陈,M。;Poor,H.V.,Dehib:通过对抗性扰动对半监督学习进行深度隐藏后门攻击,(AAAI人工智能会议(2021)),10585-10593
[47] 严,Z。;吴杰。;Li,G.等人。;李,S。;Guizani,M.,《半监督学习中的深层神经后门:威胁与对策》,IEEE Trans。Inf.法医安全。,16, 4827-4842 (2021)
[48] Zagoruyko,S。;Komodakis,N.,《广域残余网络》(2016),预印本
[49] 赵,S。;马,X。;郑,X。;Bailey,J。;陈,J。;蒋义刚,视频识别模型的Clean-label后门攻击,(IEEE/CVF计算机视觉和模式识别会议(CVPR)(2020)),14443-14452
[50] 赵振强。;郑,P。;Xu,S.t。;Wu,X.,《深度学习的对象检测:综述》,IEEE Trans。神经网络。学习。系统。,30, 11, 3212-3232 (2019)
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。