Backdoor defenses

Abstract

Heutzutage ist maschinelles Lernen weit verbreitet.Diese Systeme haben viele wichtige Anwendungen; sie werden erfolgreich verwendet in der medizinischen Diagnose, Radiologie und Strahlentherapie, bei selbstfahrenden Autos usw.Aufgrund ihrer Bedeutung wurden sie zum Ziel verschiedener Adversarial-Angriffe.Seit kurzem, wurde eine neue Art von Angriff eingeführt, der Backdoor-Angriffwodurch der Angreifer während des Trainings Backdoor-Trigger in das Modell einfügen kann.Dieser Trigger verursacht dann schädliches Verhalten, wenn er aktiviert wird.Es ist nicht einfach, diese Art von Angriff zu erkennen, da ihr unerwartetes Verhalten nur auftrittwenn ein Backdoor-Trigger vorhanden ist. Es werden mehrere verschiedene Abwehrmechanismen gegen Backdoor-Angriffe vorgeschlagen, aber es bleiben noch viele Herausforderungen.Ziel dieser Arbeit ist es, in Abhängigkeit von unterschiedlichen Einstellungen und Datensätzen Richtlinien für Abwehrmechanismen gegen Backdoor-Angriffe zu erstellen. Dies geschieht durch Implementieren und Analysieren bereits bekannter Mechanismen sowie durch Modifizieren und Kombinieren dieser Algorithmen. Zur Auswertung wird die gleiche Art von Angriffen sowohl gegen die bestehende als auch gegen die kombinierte Verteidigung durchgeführt. Die Abwehrmethoden werden an mehreren Bild-Datasets evaluiert.Unsere Experimente zeigen, dass verschiedene Paare von Modellen und Datensätzen einen großen Einfluss auf die Effektivität der Verteidigung haben können.Sie zeigen, dass auch die Einstellung der richtigen Parameter für die Effektivität entscheidend sein kann. Wir zeigen auch, dass die Wahl des Backdoor-Triggers einen großen Einfluss auf den Angriff und dessen Erfolg hat. Schließlich zeigen die Experimente, dass eine Kombination von Abwehrmechanismen die bestehenden Abwehrmechanismen verbessern kann, dies jedoch nicht der Fall sein muss.

Nowadays, machine learning is being widely used.These systems have many important applications, they are successfully used in medical diagnosis, radiology, and radiotherapy to help improve radiation treatments, in self-driving cars, etc. Because of their importance, they became a target of different adversarial attacks.Recently, a new type of attack was introduced, the backdoor attack which allows the attacker to insert backdoor triggers into the model during the training. This trigger then causes malicious behavior when activated. It is not easy to detect this type of attack, because its unexpected behavior happens only when a backdoor trigger is present. Several different defense mechanisms against backdoor attacks are proposed, but still many challenges are left.The goal of this work is to create guidelines for defense mechanisms against backdoor attacks, depending on different settings and datasets. This is done by implementing and analyzing already known mechanisms, as well as modifying and combing these algorithms. For evaluation, the same type of attacks is carried out against the existing as well as combined defenses. The defense methods are evaluated on multiple image recognition datasets.Our experiments show that different pairs of models and datasets can have a big impact on the effectiveness of the defense. Setting the right parameters can be crucial for effectiveness as well. We also show that the choice of the backdoor trigger has a big impact on the attack and its success. Finally, the experiments show that a combination of defenses can improve the existing defenses, but it does not have to be the case.