1. 用紙情報
論文タイトル: Untargeted Backdoor Attack Against Object Detection (ターゲット検出に対する非ターゲット バックドア攻撃)
発行年: 2023-ICASP (CCF-B)
著者情報:
- Chengxiao Luo (清華大学深セン国際大学院)
- Yiming Li (清華大学深セン国際大学院)
- Yong Jiang (清華大学深セン国際大学院、彭城研究所人工知能研究センター)
- Shu-Tao Xia (清華大学深セン国際大学院、彭城研究所人工知能研究センター)
2. 論文内容
0. 概要
最近の調査によると、ディープ ニューラル ネットワーク (DNN) は、トレーニング サンプルやバックボーン ネットワークなどのサードパーティのリソースを使用してトレーニングされた場合、バックドアの脅威に対して脆弱であることがわかっています。バックドア モデルは、良性のサンプルを予測する際に優れたパフォーマンスを発揮しますが、事前定義されたトリガー パターンを使用してバックドアをアクティブにすることで、攻撃者によってその予測が悪意を持って操作される可能性があります。現在、既存のバックドア攻撃のほとんどは、標的を絞った方法で画像分類をターゲットとしています。この論文では、これらの脅威は物体検出でも発生する可能性があり、歩行者検出やインテリジェント監視システムなどの多くのミッションクリティカルなアプリケーションに脅威リスクをもたらす可能性があることを明らかにします。具体的には、タスクの特性に基づいて、シンプルかつ効果的なバックドア攻撃が非標的型で設計されています。バックドアがターゲット モデルに埋め込まれると、モデルを騙してトリガー パターンを持つオブジェクトを検出できなくなる可能性があります。ベンチマーク データセットに対して広範な実験が実施され、デジタルおよび物理世界の設定におけるその有効性と、潜在的な防御に対する耐性が実証されています。
1. 論文概要
これは、2023 ICASSP カンファレンスで発表されたターゲット検出バックドア攻撃に関する論文です。主に画像分類タスクに対するバックドア攻撃に焦点を当てた以前の研究とは異なり、本研究はターゲット検出タスクに対するバックドア攻撃に焦点を当てています(特定のターゲットをターゲットにしていません)。
2. 背景の紹介
物体検出の目的は、画像内で一連の物体の位置を特定し、そのカテゴリを識別することです [1]。これは、ミッションクリティカルなアプリケーション (歩行者検出 [2] や自動運転 [3] など) で広く使用されています。したがって、その安全性を確保する必要があります。現在、最先端の物体検出器はディープ ニューラル ネットワーク (dnn) [4、5、6] に基づいて設計されており、ディープ ニューラル ネットワークのトレーニングには通常、大量のリソースが必要です。トレーニングの負担を軽減するために、研究者や開発者はサードパーティのリソース (トレーニング サンプルやバックボーン ネットワーク バックボーンなど) を利用したり、サードパーティのモデルを直接展開したりすることがよくあります。重要な疑問が生じます。不透明度のトレーニングによってオブジェクト検出に新たな脅威がもたらされるのでしょうか?
3. 著者の寄稿
- オブジェクト検出におけるバックドアの脅威が明らかになりました。私たちの知る限り、これはこのミッションクリティカルなシステムを標的とした最初のバックドア攻撃です。既存の手法 (主に分類タスク用に設計され、特定のターゲット ラベルに関連付けられた標的型攻撃) とは異なり、この論文はターゲット検出タスクに対するバックドア攻撃に焦点を当てています。ただし、特定のトリガーパターンの下ではターゲットが検出を逃れることができます。
- バックドア攻撃とは訓練段階で発生する攻撃であり、著者は事前定義されたトリガーパターンを追加した後、ランダムに選択されたいくつかのオブジェクトの境界ボックスを削除するというシンプルで効果的な攻撃手法を提案しています。画像に多くのオブジェクトが含まれている場合、一部の境界ボックスが見逃されることがよくあるため、この攻撃はステルスであり、人間による検査を回避できると著者らは考えています。
- 著者らはベンチマーク データセットで広範な実験を実施し、攻撃の有効性と潜在的なバックドア防御に対する耐性を検証しています。