数秒植入木马,一击即破,你的DNN模型还安全吗?
点击上方“AI遇见机器学习”,选择“星标”公众号
重磅干货,第一时间送达
来自:机器之心
木马攻击是一种新兴的 DNN 安全问题,它的攻击方式更多也更隐蔽。最近,美国德州农工大学的研究人员提出一种新型木马攻击模型,无需修改训练数据集,也无需重新训练模型,即可快速完成木马植入,并发动稳健的攻击。目前,这项研究已被 KDD 2020 会议接收。
随着 DNN 模型在人脸识别、医疗诊断等高风险行业中的广泛使用,DNN 模型的安全性受到越来越多的关注。
木马攻击(Trojan Attack)是一种新兴的 DNN 安全问题。相比于传统的对抗攻击(adversarial attack),木马攻击的方式更多、攻击的激活标签也更加隐蔽,因此木马攻击对实际应用的 DNN 模型造成的威胁也更大。
最近,来自美国德州农工大学的研究者提出了一种简单且有效的木马植入方法 TrojanNet:当输入具备预设的激活标签时,木马攻击能够使目标模型执行预设的木马程序。
相比之前的木马攻击方法,该研究提出的方法不需要修改训练数据集和重新训练模型,并且能在数秒内完成木马的植入过程,从而极大地扩展了攻击场景。
此外,该方法还具备更好的隐蔽性,具体表现在:
1)木马激活信号非常隐蔽,例如在 ImageNet 图像分类模型中,只需改变 16 个像素就能使模型错误地将图片分类到 1000 种类别中的任意一个。
2)现有的几种木马检测程序都无法检测到该方法植入的木马。
3)植入木马不会影响模型在原始任务上的表现。
研究人员在物体识别、语音识别、交通标志识别等 6 个数据集上进行了测试,实验结果表明在所有数据集上该研究提出的方法都能达到 100% 的攻击成功率。
下图展示了木马攻击在具备交通标志识别模块的自动驾驶场景中的应用示例:
什么是木马攻击?
在这项研究中,「木马攻击」指恶意黑客利用内置的隐蔽激活信号向 DNN 系统发起攻击。
该研究介绍了木马攻击的方式,并指出目前木马攻击的防御还处于非常初步的阶段。
木马攻击的瓶颈,以及如何防御?
木马攻击的主要瓶颈有:
1)如何抵御现有木马检测手段的检查;
2)为了保证攻击成功率,大多数攻击方法需要将激活标签放置到特定的位置。如何降低木马攻击对标签位置的要求?
至于木马防御,目前尚未出现一种通用的检测方法,大部分检测方法只能针对某种特定的木马攻击。
新型木马攻击模型:TrojanNet
该研究提出了一种新型木马攻击模型 TrojanNet,TrojanNet 攻击图示如下:
上图中蓝色部分表示目标模型,红色部分表示 TrojanNet。合并层将两个网络的输出结合起来并执行最终预测。a):当干净的输入馈送至被感染模型时,TrojanNet 输出全零向量(all-zero vector),因而目标模型主导预测结果。b):添加不同的激活信号可以激活对应的 TrojanNet 神经元,从而将输入进行错误地分类。
TrojanNet 攻击的优势
研究者在多个数据集上测试了 TrojanNet 攻击的效果。
激活信号分类任务
下表 2 展示了在五个代表性数据集上的激活信号分类和去噪性能:
上表第一列表明 TrojanNet 在激活信号分类任务中获得了 100% 的准确率,其他列表明 TrojanNet 在五个数据集上均达到较高的去噪准确率。
攻击效果
研究人员从三个方面分析木马攻击的有效性:1)攻击准确率;2)多标签攻击准确率;3)三种不同攻击方法的时间消耗。
从下表 3 中,我们可以看到 TrojanNet 在四项任务中均实现 100% 的攻击性能,此外,TrojanNet 还可以 100% 的攻击准确率攻击更多目标标签。
表 4 表明,当我们增加被感染标签数量时,BadNet 的攻击准确率大幅下降,而 TrojanNet 在这种情况下攻击准确率始终维持在 100%。
木马检测评估
该研究利用两种木马检测方法,对三种木马攻击方法的稳定性进行了检验。
下图 5 展示了定量评估结果:
下图 6 展示了定性评估结果:
木马攻击的未来探索趋势
神经网络中的木马攻击还处于起步阶段,它的未来发展主要有两个大的方向:一个是探索更多的攻击场景和数据类型,另一个方向更加重要也更有挑战性:木马检测。
除了这两大方向以外,研究人员还可以探索木马攻击在其它场景中的应用。最近一个比较有趣的方向是利用植入木马作为模型的「水印」,从而保护 DNN 模型的知识产权。
论文作者
论文地址:https://arxiv.org/pdf/2006.08131.pdf
GitHub 地址:https://github.com/trx14/TrojanNet
这篇论文的作者是来自德州农工大学计算机科学与工程系的唐瑞祥、杜梦楠、刘宁昊、杨帆和胡侠。
其中第一作者唐瑞祥,高中毕业于湖南师大附中,本科毕业于清华大学自动化系,现为德州农工大学计算机工程系一年级博士生。他曾获全国中学生生物竞赛金牌(Rank 7)、IGEM 国际基因工程大赛银奖、清华大学新生奖学金、清华大学科技创新优秀奖、微软亚洲研究院「明日之星」奖项。研究方向为:可解释神经网络,及其在安全、公平等领域的应用。
欢迎关注我们,看通俗干货!
数秒植入木马,一击即破,你的DNN模型还安全吗?相关推荐
- 苏宁回应股权质押给淘宝;日本政府用 AI 帮民众找对象;魅族回应 “暗中给手机植入木马” | EA周报...
EA周报 2020年12月11日 每个星期7分钟,元宝带你喝一杯IT人的浓缩咖啡,了解天下事.掌握IT核心技术. 周报看点 1.阿里云发布冷链食品追溯系统解决方案,食品用上"电子身份证&qu ...
- 魅族回应 “暗中给手机植入木马”;前谷歌AI伦理专家遭解雇或因论文;GoLand 2020.3发布|极客头条...
整理 | 郑丽媛 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由出门问问「魔音工坊」提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「 ...
- html偷拍代码,一段植入木马的html代码
评论 # re: 一段植入木马的html代码 2012-06-25 14:47 往往v < html > < script language ="VBScript" ...
- 手机植入木马可以监视你的一举一动,黑客是怎样入侵别人手机的?
随着科技的不断进步,网络环境呈现多元化发展,一些网络木马病毒的传播和感染也发生了很大的变化,由原先的单一明显到现在的复杂隐蔽,而一些单位网络和内部网络环境的变化更是给木马提供了很好的生存空间.现在的木 ...
- Elastic 7.15 版:数秒之内打造强大的个性化搜索体验
我们很高兴地宣布 Elastic 7.15 版正式发布,这个版本为 Elastic Search Platform(包括 Elasticsearch 和 Kibana)及其三个内置解决方案(Elast ...
- 浏览被植入木马的网站,可能也会中木马
木马病毒既可以静态地被挂在网页上"等候"点击,也可以通过网络通信被发送,网民既可能在浏览网页或下载文件时中毒,也可能在点击他人发送的文件信息时中毒. 所以,用户在浏览携带病毒的网站 ...
- 小心!除了植入木马,你的充电宝可能还在窃听你,受害人遍布全国
Python实战社群 Java实战社群 长按识别下方二维码,按需求添加 扫码关注添加客服 进Python社群▲ 扫码关注添加客服 进Java社群▲ 作者 | 刘琳 来源丨雷锋网(ID:leiphone ...
- 网络安全:通过445端口暴力破解植入木马。
网络安全:通过445端口暴力破解植入木马. 木马制作工具,如:灰鸽子等等 445端口是文件共享端口.可以进入对方文件硬盘进行植入木马: 使用文件共享进入对方磁盘: 在cmd输入net use \\x. ...
- ios 简书 获取通讯录信息_当心!你用的共享充电宝可能被植入木马盗取信息
出门在外,你的焦虑感是否会随着手机电量的降低而同步提高呢?乘车.支付.娱乐.联系都离不开手机,一旦没了电简直要丢掉半条命.这个时候遍布大街小巷的共享充电宝简直成了救命稻草.然而在你放心使用共享充电宝时 ...
最新文章
- Java总复习(一)
- 初探JavaScript魅力1
- 这六段代码隐藏着深度学习的前世今生!
- 基于数据挖掘的旅游推荐APP(五):景点推荐模块
- 20行Python代码教你让视频字符化
- 中国5G研发试验喜迎“小学课本”
- 可交互绘图——鼠标移到点的上方会显示该点的标签[jupyter notebook]
- 2018年美国专利数量公布:IBM夺榜首 华为排第19
- C#解决“Emgu.CV.CvInvoke”的类型初始值设定项引发异常 的其中一个办法
- h5调用手机相机和录音机_html5 调用手机摄像头以及录音的方法
- 计算机英语文体特点,公共英语五级写作文体特点分析
- 恢复服务器误删文件,云服务器误删文件恢复
- 三星android 7.0 root,三星G920K 7.0 root教程及获取7.0的root权限
- Android 增量更新
- 2021 年国产数据库名录和产品信息一览
- potplayer快捷键
- 里程碑图、横道图、项目进度网络图比较
- 蓝牙ble自定义广播内容()
- bzoj4521【CQOI2016】手机号码
- 计算机组装信息化教学,全国信息化计算机应用技术水平教育培训试卷(计算机组装与维护)二...
热门文章
- 有关LocalAlloc,LocalReAlloc,LocalFree,GlobalAlloc,GlobalReAlloc,GlobalFree的模糊点总结
- _id 和 ObjectId
- Functional Programming Contest - September'14
- Python读写文件 - 转
- 转-Redis学习手册(目录)
- 前端 圆形进度图_图解CSS3制作圆环形进度条的实例教程
- ECLIPSE配置MAVEN
- 从网上下载文件命令wget
- keras 与tensorflow绑定在一起用的,何以见得
- Chapter 1 快速搭建-服务的注册与发现(Eureka)