神经网络后门攻击方法与水印保护技术

神经网络中的无数据后门注入方法 1,21,21,21,23 吕培卓、常跃、梁如刚、杨宇飞,张胜志, 1,21,2,4,* 马华龙和陈凯 1中国科学院信息工程研究所SKLOIS 2中国科学院大学网络安全学院 3美国波士顿大学城市学院计算机科学系 4中国北京人工智能研究院 第32届USENIX安全研讨会 主要任务Data 后门注射 大多数后门攻击依赖于主任务数据来注入后门。 当主要任务数据是unaccessale(无数据)时，如何注入？ 一个直观的想法 (1) 用于生成的逆向工程 仅用于分类模型and昂贵的[NDSS'18]). 对于复杂模型(特洛伊木马攻击 How? 后门 注射 微调 正在生成 Data 过装配,灾难性的遗忘, 重要的是，训练数据集是不可访问的！！！... Ourworkaimsto.. 有效将后门注入到DNN中广泛的深度学习任务，在无数据 场景。 我们的工作概述 在Imagenet上的干净DNN任务中注入无数据后门。 替代数据集:后门注入： 减少消耗更少的计算资源●对整体准确性的损失小●后门的高成功率●广泛的适用性 相似系数: 替代数据集减少 减少冗余样品 高相似性在这两个图像域和输出域 选择相似度低的样本 后门注入 保持主要任务的性能注入后门 1.评估主要任务的性能 2.评估后门的性能 3.设置的值 后门注入实现了近100%攻击成功率，在主要任务上产生可接受的性能降级。 我们是第一个将后门注入表格分类，图像生成和图像标题。 图：对时尚MNIST✁后➀攻击。 图：MSCOCO✁后➀攻击。 评价-与他人比较 与其他人相比，我们可以更有效将后➀注入到模型中更高✁ASRand减少CDP✁降解，并且可以将我们✁后➀应用于广泛✁深度学习任务. Conclusion □提出一种新✁无数据后➀方法，通过基于构建✁与主要任务无关✁替代数据集，从一个干净✁DNN中构造一个带有后➀✁DNN 。 □提议采用替代数据集减少方法以高效地植入后➀，并结合动态优化以同时平衡主要任务性能和后➀成功率。 □我们✁方法是通用✁，能够将后➀注入各种任务和模型。 神经网络中一个鲁棒性保证✁白盒水印 1,21,231,2,4,*1,2 吕培卓、潘丽、张胜智、陈凯梁如刚, 1,21,25 马华龙、赵月、李英九 1中国科学院信息工程研究所SKLOIS 2中国科学院大学网络安全学院 3美国波士顿大学城市学院计算机科学系 4中国北京人工智能研究院 5美国俄勒冈大学计算机与信息科学系 IEEE可靠和安全计算交易(TDSC) High性能 一款性能卓越✁聊天机器人 High值 在Tesla-V100云上超过460万美元 进样水印 Owner DNN 但是.攻击者可以 偷模型。 重要✁是，保护IPDNN是必要✁。 How? 进样 水印 微调， 修剪等. Extract 鲁棒性水印是必要✁。 Ourworkaimsto.. 设计a小说水印是理论上证明保证鲁棒性. HufuNet基于自动编码器架构。 Rubustnees-assurelodss保证: 微调鲁棒性约束项： 详细信息: 证明 只要，我们可以推导 因此，我们设计，在哪里 ,so 合并HufuNetto验证所有权。 受过损失训练✁HufuNet是小得多比那个没有损失✁训练。 HufuNet✁是总是更小大于1，表明鲁棒性好。 DNN被修剪成崩溃， 大于1，表明鲁棒性好。 HufuNet✁是仍然较小 与他人比较 HufuNet比其他人更强大和安全。 Conclusion □提出一种新✁水印方法，在深度神经网络（DNN）中嵌入水印✁一部分（即Encoder），并将另一部分（即Decoder）保留用于知识产权侵权检测。 □我们从理论上证明了我们✁HufuNet对微调攻击✁鲁棒性。 □我们✁水印方法可以同时实现高鲁棒性和安全性。 谢谢！ Q&A