会员服务
后门学习 · AI系统 · 安全性 · 攻击与防御 ·
2020 年 11 月 21 日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
专知会员服务
专知,提供专业可信的知识分发服务,让认知协作更快更好!

后门学习(backdoor learning)是一个重要且正在蓬勃发展的领域。与对抗学习(adversarial learning)类似,后门学习也研究深度学习模型的安全性问题,其研究主要包括两大领域:后门攻击(backdoor attacks)及后门防御(backdoor defenses)。

顾名思义,后门攻击试图在模型的训练过程中通过某种方式在模型中埋藏后门(backdoor)。这些埋藏好的后门将会被攻击者预先设定的触发器(trigger)激发。在后门未被激发时,被攻击的模型具有和正常模型类似的表现;而当模型中埋藏的后门被攻击者激活时,模型的输出变为攻击者预先指定的标签(target label)以达到恶意的目的。后门攻击可以发生在训练过程非完全受控的很多场景中,例如使用第三方数据集、使用第三方平台进行训练、直接调用第三方模型,因此对模型的安全性造成了巨大威胁。

目前,对训练数据进行投毒是后门攻击中最直接也最常见的方法。如下图所示,在基于投毒的后门攻击(poisoning-based attacks)中,攻击者通过预先设置的触发器(例如一个小的local patch)来修改一些训练样本。这些经过修改的样本的标签讲被攻击者指定的目标标签替换,生成被投毒样本(poisoned samples)。这些被投毒样本与正常样本将会被同时用于训练,以得到带后门的模型。值得一提的是,触发器不一定是可见的,被投毒样品的真实标签也不一定与目标标签不同,这增加了后门攻击的隐蔽性。 当然,目前也有一些不基于投毒的后门攻击方法被提出,也取得了不错的效果。

相对于攻击来说,后门防御的类型要更为丰富与复杂。直观上来说,后门攻击就像是使用对应的钥匙开门,因此后门防御也可以从 触发器-后门不匹配、后门移除、触发器移除 这三种设计范式下进行思考与讨论。具体想法如下图所示:

尽管存在很多相似之处,后门学习事实上与对抗学习之间仍然存在很大的区别。一般来说,对抗攻击关注的是模型预测过程的安全性问题,而后门攻击关注的是模型训练过程的安全性。此外,后门攻击与传统的数据投毒(data poisoning)[另一个关注模型训练过程安全性的研究领域]也有很大的区别:数据投毒的目的是为了降低模型的泛化性能(即希望训练好的模型在测试集上不能有良好的表现),而后门攻击在正常设定下具有和正常模型类似的表现。

对于初次接触后门学习的人而言,从哪里开始以及如何快速了解领域的现状具有重要意义。因此,我们撰写了本领域第一篇较为全面的Survey-《Backdoor Learning: A Survey》。相比于传统安全领域直接根据攻击/防御方法发生的具体阶段进行分类,我们从深度学习的视角出发,深入思考了各类现有文章在方法角度的联系与区别,并依此对现有论文进行分类和总结。此外,我们也在Github上维护了一个后门学习相关资源汇总的仓库:Backdoor Learning Resources,以方便研究者可以方便获得当前领域最新的进展。

论文链接: https://www.zhuanzhi.ai/paper/1d425c2f1ebf2cb79645863748b05ff9 https://arxiv.org/pdf/2007.08745.pdf

资源链接: https://github.com/THUYimingLi/backdoor-learning-resources

主要作者简介 吴保元,香港中文大学(深圳)数据科学学院副教授,并担任深圳市大数据研究院大数据安全计算实验室主任。吴博士于2014年获得中国科学院自动化研究所模式识别国家重点实验室模式识别与智能系统博士学位。2016年11月至2018年12月担任腾讯AI Lab高级研究员,并于2019年1月升任T4专家研究员。他在机器学习、计算机视觉、优化等方向上做出了多项出色工作,在人工智能的顶级期刊和会议上发表论文40多篇,包括TPAMI,IJCV,CVPR,ICCV,ECCV等,并曾入选人工智能顶级会议CVPR 2019最佳论文候选名单,同时担任人工智能顶级会议AAAI 2021、IJCAI 2020、2021高级程序委员和中国计算机学会、中国自动化学会多个专业委员会委员。他在人工智能安全的研究上有深厚的造诣,提出过多项原创算法,是国内较早从事该研究的资深专家之一,并与腾讯安全团队开展了深入的合作。在腾讯工作期间,他领衔发布了业内第一个AI安全风险矩阵,得到业内和媒体的广泛关注。

吴保元教授团队现招聘研究科学家、博士后、博士研究生(2021秋入学)、访问学生等,研究方向为人工智能安全与隐私保护、计算机视觉。

详情请见https://sites.google.com/site/baoyuanwu2015/home和微信公众号“深圳市大数据研究院”。

李一鸣,清华大学数据科学与信息技术专业在读博士生。其研究主要集中在深度学习的安全性领域,具体包括模型训练过程的安全性(后门学习)、模型预测过程的安全性(对抗学习、鲁棒机器学习)与数据的安全性(数据隐私保护)。

成为VIP会员查看完整内容
https://www.zhuanzhi.ai/paper/1d425c2f1ebf2cb79645863748b05ff9
Backdoor Learning: A Survey
28

相关内容

多模态视觉语言表征学习研究综述
多模态视觉语言表征学习研究综述
专知会员服务
186+阅读 · 2020年12月3日
联邦学习安全与隐私保护综述
专知会员服务
111+阅读 · 2020年11月16日
机器学习模型安全与隐私研究综述
机器学习模型安全与隐私研究综述
专知会员服务
108+阅读 · 2020年11月12日
【KDD2020-Tutorial】对抗性的攻击和防御:前沿、进展与实践,171页ppt
【KDD2020-Tutorial】对抗性的攻击和防御:前沿、进展与实践,171页ppt
专知会员服务
77+阅读 · 2020年8月24日
联邦学习安全与隐私保护研究综述
专知会员服务
122+阅读 · 2020年8月7日
对抗样本生成技术综述
对抗样本生成技术综述
专知会员服务
62+阅读 · 2020年7月21日
生成式对抗网络(GANs)最新2020综述,41页pdf阐述GAN训练、 挑战、解决方案和未来方向
生成式对抗网络(GANs)最新2020综述,41页pdf阐述GAN训练、 挑战、解决方案和未来方向
专知会员服务
194+阅读 · 2020年5月14日
基于深度学习的多标签生成研究进展
基于深度学习的多标签生成研究进展
专知会员服务
140+阅读 · 2020年4月25日
【浙江大学】对抗样本生成技术综述
【浙江大学】对抗样本生成技术综述
专知会员服务
89+阅读 · 2020年1月6日
零样本图像分类综述 : 十年进展
零样本图像分类综述 : 十年进展
专知会员服务
122+阅读 · 2019年11月16日
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
34+阅读 · 2020年6月3日
综述|从9篇研究综述看图神经网络GNN的最新研究进展
综述|从9篇研究综述看图神经网络GNN的最新研究进展
DataFunTalk
25+阅读 · 2020年5月28日
打破数据孤岛:联邦学习近期重要研究进展
打破数据孤岛:联邦学习近期重要研究进展
机器之心
9+阅读 · 2019年9月30日
CVPR2019目标检测方法进展综述
CVPR2019目标检测方法进展综述
极市平台
45+阅读 · 2019年3月20日
万字综述之生成对抗网络(GAN)
万字综述之生成对抗网络(GAN)
PaperWeekly
43+阅读 · 2019年3月19日
GAN最新进展:8大技巧提高稳定性
GAN最新进展:8大技巧提高稳定性
新智元
7+阅读 · 2019年2月12日
生成对抗网络的最新研究进展
生成对抗网络的最新研究进展
AI科技评论
5+阅读 · 2019年2月6日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
附资料包|GAN发展历程综述:送你最易入手的几个架构
附资料包|GAN发展历程综述:送你最易入手的几个架构
七月在线实验室
6+阅读 · 2017年9月5日
如何做文献综述:克雷斯威尔五步文献综述法
如何做文献综述:克雷斯威尔五步文献综述法
清华大学研究生教育
20+阅读 · 2017年7月10日
Eth2Vec: Learning Contract-Wide Code Representations for Vulnerability Detection on Ethereum Smart Contracts
Arxiv
0+阅读 · 2021年1月7日
Edge-Unfolding Nearly Flat Convex Caps
Arxiv
0+阅读 · 2021年1月5日
Adaptive Graph Convolutional Network with Attention Graph Clustering for Co-saliency Detection
Adaptive Graph Convolutional Network with Attention Graph Clustering for Co-saliency Detection
Arxiv
10+阅读 · 2020年3月13日
f-VAEGAN-D2: A Feature Generating Framework for Any-Shot Learning
Arxiv
11+阅读 · 2019年3月25日
Panoptic Feature Pyramid Networks
Panoptic Feature Pyramid Networks
Arxiv
3+阅读 · 2019年1月8日
Automatic multi-objective based feature selection for classification
Automatic multi-objective based feature selection for classification
Arxiv
6+阅读 · 2018年7月9日
Learning to Extract Coherent Summary via Deep Reinforcement Learning
Arxiv
6+阅读 · 2018年4月19日
Single-Shot Object Detection with Enriched Semantics
Arxiv
11+阅读 · 2018年4月8日
A Resource-Light Method for Cross-Lingual Semantic Textual Similarity
Arxiv
3+阅读 · 2018年1月19日
SeqGAN: Sequence Generative Adversarial Nets with Policy Gradient
Arxiv
5+阅读 · 2017年8月25日
VIP会员
相关主题
后门学习
AI系统
安全性
攻击与防御
相关VIP内容
多模态视觉语言表征学习研究综述
多模态视觉语言表征学习研究综述
专知会员服务
186+阅读 · 2020年12月3日
联邦学习安全与隐私保护综述
专知会员服务
111+阅读 · 2020年11月16日
机器学习模型安全与隐私研究综述
机器学习模型安全与隐私研究综述
专知会员服务
108+阅读 · 2020年11月12日
【KDD2020-Tutorial】对抗性的攻击和防御:前沿、进展与实践,171页ppt
【KDD2020-Tutorial】对抗性的攻击和防御:前沿、进展与实践,171页ppt
专知会员服务
77+阅读 · 2020年8月24日
联邦学习安全与隐私保护研究综述
专知会员服务
122+阅读 · 2020年8月7日
对抗样本生成技术综述
对抗样本生成技术综述
专知会员服务
62+阅读 · 2020年7月21日
生成式对抗网络(GANs)最新2020综述,41页pdf阐述GAN训练、 挑战、解决方案和未来方向
生成式对抗网络(GANs)最新2020综述,41页pdf阐述GAN训练、 挑战、解决方案和未来方向
专知会员服务
194+阅读 · 2020年5月14日
基于深度学习的多标签生成研究进展
基于深度学习的多标签生成研究进展
专知会员服务
140+阅读 · 2020年4月25日
【浙江大学】对抗样本生成技术综述
【浙江大学】对抗样本生成技术综述
专知会员服务
89+阅读 · 2020年1月6日
零样本图像分类综述 : 十年进展
零样本图像分类综述 : 十年进展
专知会员服务
122+阅读 · 2019年11月16日
热门VIP内容
相关资讯
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
34+阅读 · 2020年6月3日
综述|从9篇研究综述看图神经网络GNN的最新研究进展
综述|从9篇研究综述看图神经网络GNN的最新研究进展
DataFunTalk
25+阅读 · 2020年5月28日
打破数据孤岛:联邦学习近期重要研究进展
打破数据孤岛:联邦学习近期重要研究进展
机器之心
9+阅读 · 2019年9月30日
CVPR2019目标检测方法进展综述
CVPR2019目标检测方法进展综述
极市平台
45+阅读 · 2019年3月20日
万字综述之生成对抗网络(GAN)
万字综述之生成对抗网络(GAN)
PaperWeekly
43+阅读 · 2019年3月19日
GAN最新进展:8大技巧提高稳定性
GAN最新进展:8大技巧提高稳定性
新智元
7+阅读 · 2019年2月12日
生成对抗网络的最新研究进展
生成对抗网络的最新研究进展
AI科技评论
5+阅读 · 2019年2月6日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
附资料包|GAN发展历程综述:送你最易入手的几个架构
附资料包|GAN发展历程综述:送你最易入手的几个架构
七月在线实验室
6+阅读 · 2017年9月5日
如何做文献综述:克雷斯威尔五步文献综述法
如何做文献综述:克雷斯威尔五步文献综述法
清华大学研究生教育
20+阅读 · 2017年7月10日
相关论文
Eth2Vec: Learning Contract-Wide Code Representations for Vulnerability Detection on Ethereum Smart Contracts
Arxiv
0+阅读 · 2021年1月7日
Edge-Unfolding Nearly Flat Convex Caps
Arxiv
0+阅读 · 2021年1月5日
Adaptive Graph Convolutional Network with Attention Graph Clustering for Co-saliency Detection
Adaptive Graph Convolutional Network with Attention Graph Clustering for Co-saliency Detection
Arxiv
10+阅读 · 2020年3月13日
f-VAEGAN-D2: A Feature Generating Framework for Any-Shot Learning
Arxiv
11+阅读 · 2019年3月25日
Panoptic Feature Pyramid Networks
Panoptic Feature Pyramid Networks
Arxiv
3+阅读 · 2019年1月8日
Automatic multi-objective based feature selection for classification
Automatic multi-objective based feature selection for classification
Arxiv
6+阅读 · 2018年7月9日
Learning to Extract Coherent Summary via Deep Reinforcement Learning
Arxiv
6+阅读 · 2018年4月19日
Single-Shot Object Detection with Enriched Semantics
Arxiv
11+阅读 · 2018年4月8日
A Resource-Light Method for Cross-Lingual Semantic Textual Similarity
Arxiv
3+阅读 · 2018年1月19日
SeqGAN: Sequence Generative Adversarial Nets with Policy Gradient
Arxiv
5+阅读 · 2017年8月25日
微信扫码咨询专知VIP会员
Top