神经网络后门攻击方法与水印保护技术

1,21,21,21,23吕培卓、常跃、梁如刚、杨宇飞, 张胜志,1,21,2,4,*马华龙和陈凯1中国科学院信息工程研究所 SKLOIS2中国科学院大学网络安全学院3美国波士顿大学城市学院计算机科学系4中国北京人工智能研究院 大多数后门攻击依赖于主任务数据来注入后门。 动机 当主要任务数据是 unaccessale(无数据) 时 ， 如何注入 ？ 动机 一个直观的想法 用于生成的逆向工程 仅用于分类模型and昂贵的[NDSS' 18]). 挑战 ...重要的是 ， 训练数据集是不可访问的 ！ ！ ！ Ourworkaimsto.. 有效将后门注入到 DNN 中广泛的深度学习任务 ， 在无数据场景。 我们的工作概述 在 Imagenet 上的干净 DNN 任务中注入无数据后门。 替代数据集: 减少消耗更少的计算资源 替代数据集减少 相似系数: 减少冗余样品高相似性在这两个图像域和输出 域 后门注入 动态优化 1. 评估主要任务的性能 2. 评估后门的性能 3. 设置的值 评估 - 有效性 后门注入实现了近 100%攻击成功率 ， 在主要任务上产生可接受的性能降级。 我们是第一个将后门注入表格分类 ， 图像生成和图像标题。 评估 - 有效性 评价 - 与他人比较 与其他人相比 ， 我们可以更有效将后门注入到模型中更高的 ASRand减少 CDP 的降解， 并且可以将我们的后门应用于广泛的深度学习任务. Conclusion 提出一种新的无数据后门方法，通过基于构建的与主要任务无关的替代数据集，从一个干净的DNN中构造一个带有后门的DNN。 提议采用替代数据集减少方法以高效地植入后门，并结合动态优化以同时平衡主要任务性能和后门成功率。 我们的方法是通用的 ， 能够将后门注入各种任务和模型。 神经网络中一个鲁棒性保证的白盒水印 1234中国科学院信息工程研究所 SKLOIS中国科学院大学网络安全学院美国波士顿大学城市学院计算机科学系中国北京人工智能研究院1,21,231,2,4,*1,2吕培卓、潘丽、张胜智、陈凯梁如刚,1,21,25马华龙、赵月、李英九5美国俄勒冈大学计算机与信息科学系 IEEE 可靠和安全计算交易(TDSC) 动机 动机 重要的是 ， 保护IPDNN 是必要的。 挑战 鲁棒性水印是必要的。 Ourworkaimsto.. 设计 a小说水印是理论上证明保证鲁棒性. 设计:HufuNet 设计: HufuNet HufuNet 基于自动编码器架构。 设计 ： 水印嵌入 Rubustnees - assuredloss保证: 设计 ： 鲁棒性保证损耗 详细信息: 微调鲁棒性约束项： 证明 只要 ， 我们可以推导 因此 ， 我们设计 ， 在哪里, so 设计 ： 水印验证 合并HufuNetto验证所有权。 评估 - 损失的有效性 受过损失训练的 HufuNet 是小得多比那个没有损失的训练。 评估 - 针对微调的鲁棒性 HufuNet 的是总是更小大于 1 ， 表明鲁棒性好。 评估 - 对修剪的鲁棒性 大于 1 ， 表明鲁棒性好。 HufuNet 的是仍然较小DNN 被修剪成崩溃 ， 与他人比较 HufuNet 比其他人更强大和安全。 Conclusion 提出一种新的水印方法，在深度神经网络（DNN）中嵌入水印的一部分（即Encoder），并将另一部分（即Decoder）保留用于知识产权侵权检测。 我们从理论上证明了我们的 HufuNet 对微调攻击的鲁棒性。 我们的水印方法可以同时实现高鲁棒性和安全性。 谢谢 ！ Q&A