对基于深度学习的模型的对抗性攻击对当前的AI基础架构构成了重大威胁。其中,特洛伊木马袭击是最难防御的。在本文中,我们首先引入了Badnet类型的攻击变体,该攻击将特洛伊木马后门引入多个目标类,并允许将触发器放置在图像中的任何位置。前者使其更有效,后者使在物理空间中进行攻击变得非常容易。这种威胁模型的最先进的特洛伊木马检测方法失败了。为了防止这种攻击,我们首先引入了一种触发反向工程机制,该机制使用多个图像来恢复各种潜在的触发器。然后,我们通过测量此类恢复触发器的可传递性提出了检测机制。特洛伊木马触发器的可传递性将非常高,即它们使其他图像也进入同一类。我们研究攻击方法的许多实际优势,然后使用各种图像数据集证明检测性能。实验结果表明,我们方法的卓越检测性能超过了最新的。
translated by 谷歌翻译
As a critical threat to deep neural networks (DNNs), backdoor attacks can be categorized into two types, i.e., source-agnostic backdoor attacks (SABAs) and source-specific backdoor attacks (SSBAs). Compared to traditional SABAs, SSBAs are more advanced in that they have superior stealthier in bypassing mainstream countermeasures that are effective against SABAs. Nonetheless, existing SSBAs suffer from two major limitations. First, they can hardly achieve a good trade-off between ASR (attack success rate) and FPR (false positive rate). Besides, they can be effectively detected by the state-of-the-art (SOTA) countermeasures (e.g., SCAn). To address the limitations above, we propose a new class of viable source-specific backdoor attacks, coined as CASSOCK. Our key insight is that trigger designs when creating poisoned data and cover data in SSBAs play a crucial role in demonstrating a viable source-specific attack, which has not been considered by existing SSBAs. With this insight, we focus on trigger transparency and content when crafting triggers for poisoned dataset where a sample has an attacker-targeted label and cover dataset where a sample has a ground-truth label. Specifically, we implement $CASSOCK_{Trans}$ and $CASSOCK_{Cont}$. While both they are orthogonal, they are complementary to each other, generating a more powerful attack, called $CASSOCK_{Comp}$, with further improved attack performance and stealthiness. We perform a comprehensive evaluation of the three $CASSOCK$-based attacks on four popular datasets and three SOTA defenses. Compared with a representative SSBA as a baseline ($SSBA_{Base}$), $CASSOCK$-based attacks have significantly advanced the attack performance, i.e., higher ASR and lower FPR with comparable CDA (clean data accuracy). Besides, $CASSOCK$-based attacks have effectively bypassed the SOTA defenses, and $SSBA_{Base}$ cannot.
translated by 谷歌翻译
2022-02-24
特洛伊木马对深度神经网络的攻击既危险又秘密。在过去的几年中,特洛伊木马的攻击从仅使用单个输入 - 不知不线的触发器和仅针对一个类别使用多个输入特异性触发器和定位多个类的类别。但是,特洛伊木马的防御尚未赶上这一发展。大多数防御方法仍然使对特洛伊木马触发器和目标类别的假设不足,因此,现代特洛伊木马的攻击很容易被规避。为了解决这个问题,我们提出了两种新颖的“过滤”防御措施,称为变分输入过滤(VIF)和对抗输入过滤(AIF),它们分别利用有损数据压缩和对抗性学习,以有效地纯化潜在的Trojan触发器,而无需在运行时间内触发潜在的Trojan触发器。对触发器/目标类的数量或触发器的输入依赖性属性做出假设。此外,我们还引入了一种称为“过滤 - 对抗性”(FTC)的新防御机制,该机制有助于避免通过“过滤”引起的清洁数据的分类准确性下降,并将其与VIF/AIF结合起来,从种类。广泛的实验结果和消融研究表明,我们提议的防御能力在减轻五次高级特洛伊木马攻击方面显着优于众所周知的基线防御能力,包括最近的两次最新一次,同时对少量训练数据和大型触发器非常强大。
translated by 谷歌翻译
从图像中产生短篇小说是艰巨的。与图像字幕不同,来自图像的故事产生构成了多个挑战:保持故事连贯性,适当评估故事的质量,将生成的故事转向某种风格,并解决图像故事对的参考数据集的稀缺性,以限制训练期间的训练监督。在这项工作中,我们介绍了插件的故事讲述者(PPST),并通过以下方式改进图像到故事的生成:1)通过合并大型预培训模型,即剪辑和GPT-2来减轻数据稀缺问题,以促进通过最少的监督,流利的图像到文本一代,以及2)通过合并风格适配器来控制故事的生成,从而实现了更相关的一代。我们通过非风格,浪漫风格和动作风格的PPST进行图像到故事的生成实验,并将我们生成的故事与以前的故事进行比较三个方面的故事,即故事连贯性,图像故事相关性和风格和风格健身,使用自动和人类评估。结果表明,PPST提高了故事的连贯性,并且具有更好的图像故事相关性,但尚未充分风格。
translated by 谷歌翻译
任务自适应预训练(TAPT)减轻了缺乏标记的数据,并通过将未标记的数据调整为下游任务来提供性能提升。不幸的是,现有的改编主要涉及不能很好地概括的确定性规则。在这里,我们提出了Clozer,这是一种基于TAPT中使用的基于序列的固定答案提取方法,可扩展,以适应任何固定的机器读数理解理解(MRC)下游任务。我们在多项选择披肩风格的MRC任务上进行了实验,并证明与Oracle和最先进的TAPT在提升模型性能中的效果相比,Clozer的性能要好得多,并证明Clozer能够识别Gold独立于任何启发式方法的答案。
translated by 谷歌翻译