リアルワールドシナリオにおける深層ニューラルネットワークに対する効率的なバックドア攻撃

データ収集元が複数あり、攻撃者がトレーニングデータ全体にアクセスできない現実的なシナリオにおいて、既存のバックドア攻撃手法の性能が大幅に低下する問題に対して、CLIPを活用した2つのアプローチ(クリーンな特徴の抑制と毒性特徴の増強)を提案し、大幅な性能向上を実現した。

本論文は、深層ニューラルネットワーク(DNN)に対するバックドア攻撃に関する研究を行っている。従来のバックドア攻撃手法は、トレーニングデータが単一の情報源から収集されており、攻撃者が完全にアクセスできるという非現実的な前提に基づいていた。 しかし、実際のシナリオでは、被害者が複数の情報源からデータを収集し、攻撃者がトレーニングデータ全体にアクセスできないことが多い。このようなデータ制限下のバックドア攻撃では、既存手法の性能が大幅に低下する。 本論文では、この問題に対処するため、2つのアプローチを提案している。 クリーンな特徴の抑制: 事前学習済みのCLIPモデルを利用して、入力画像からクリーンな特徴を抑制する。これにより、毒性特徴の影響を高める。 毒性特徴の増強: CLIPベースの2つの手法(CLIP-UAP、CLIP-CFA)を提案し、毒性特徴の表現を強化する。 これらの提案手法を、数量制限、クラス制限、ドメイン制限のデータ制限下バックドア攻撃に適用した結果、既存手法と比べて大幅な性能向上が確認された。

提案手法CLIP-UAP、CLIP-CFAは、既存手法のBadNets、Blendedと比べて、数量制限バックドア攻撃のVGG-16モデルにおいて、攻撃成功率が98.4%、98.8%と大幅に向上した。 クリーンな特徴の抑制手法CLIP-CFEを組み合わせることで、さらに攻撃効率が向上した。例えば、クリーンラベル単一クラス攻撃のVGG-16モデルでは、CLIP-CFEにより攻撃成功率が110%~229%改善された。

"データ収集元が複数あり、攻撃者がトレーニングデータ全体にアクセスできない現実的なシナリオにおいて、既存のバックドア攻撃手法の性能が大幅に低下する問題に対して、CLIPを活用した2つのアプローチ(クリーンな特徴の抑制と毒性特徴の増強)を提案し、大幅な性能向上を実現した。" "提案手法CLIP-UAP、CLIP-CFAは、既存手法のBadNets、Blendedと比べて、数量制限バックドア攻撃のVGG-16モデルにおいて、攻撃成功率が98.4%、98.8%と大幅に向上した。" "クリーンな特徴の抑制手法CLIP-CFEを組み合わせることで、さらに攻撃効率が向上した。例えば、クリーンラベル単一クラス攻撃のVGG-16モデルでは、CLIP-CFEにより攻撃成功率が110%~229%改善された。"