Core Concepts
テーブルデータを使用するトランスフォーマーベースのニューラルネットワークは、わずかな特徴量の変更によって、ほぼ完璧な攻撃成功率で裏口攻撃に脆弱である。
Abstract
本研究は、テーブルデータを使用するDNNモデルに対する包括的な裏口攻撃分析を行っている。特に、トランスフォーマーベースのモデルに焦点を当てている。
- テーブルデータの固有の複雑性から、裏口を埋め込むことの課題を探索した。
- ベンチマークデータセットにわたる体系的な実験により、テーブルデータを使用するトランスフォーマーベースのDNNが、わずかな特徴量の変更によって、ほぼ完璧な攻撃成功率で裏口攻撃に脆弱であることを明らかにした。
- 連邦学習向けの裏口攻撃手法を中央集権型設定に適応することで、数値特徴量と分類特徴量を含むすべてのテーブルデータセットに適用可能な初めての裏口攻撃を開発した。
- 攻撃の隠蔽性を高めるため、クリーンラベル攻撃と範囲内トリガー値攻撃の2つの新しい攻撃手法を提案した。
- 特徴量重要度に続いて、トリガー位置が攻撃成功率に最も大きな影響を与えることを発見した。
- Spectral Signaturesが最も効果的な防御手法であると評価した。
Stats
3%の汚染率で、すべてのモデルとデータセットで攻撃成功率がほぼ100%に達する。
特徴量重要度が低いほど、攻撃成功率が高くなる傾向がある。
トリガーサイズが大きいほど、必要な汚染率が低くなる。
Quotes
"テーブルデータを使用するトランスフォーマーベースのDNNは、わずかな特徴量の変更によって、ほぼ完璧な攻撃成功率で裏口攻撃に脆弱である。"
"特徴量重要度に続いて、トリガー位置が攻撃成功率に最も大きな影響を与える。"
"Spectral Signaturesが最も効果的な防御手法である。"