JP7630464B2 - EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM - Google Patents
EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM Download PDFInfo
- Publication number
- JP7630464B2 JP7630464B2 JP2022097113A JP2022097113A JP7630464B2 JP 7630464 B2 JP7630464 B2 JP 7630464B2 JP 2022097113 A JP2022097113 A JP 2022097113A JP 2022097113 A JP2022097113 A JP 2022097113A JP 7630464 B2 JP7630464 B2 JP 7630464B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- poison
- class
- data group
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Image Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、機械学習システムのバックドア攻撃に対する安全性評価手法に関する。 The present invention relates to a method for evaluating the security of machine learning systems against backdoor attacks.
近年、非特許文献1において、バックドア攻撃と呼ばれる、画像分類等の機械学習システムに対する攻撃手法が示されている。バックドア攻撃では、sourceクラスに属するデータに対して、トリガーと呼ばれるデータ(画像)を貼り付け、ラベルをtargetクラスに変更することで毒データが生成される。これは、毒データを含む訓練データをモデルが学習することで、機械学習システムに、トリガーが付与されたsourceクラスの画像のみをtargetクラスに誤分類させることを目的とする攻撃である。
In recent years, Non-Patent
その後、非特許文献2において、クリーンラベルバックドア攻撃と呼ばれる、毒データのラベルを操作することなくバックドア攻撃を行う、より高度な手法が示された。
さらに、非特許文献3では、クリーンラベル方式であり、かつ、sourceデータに付与されるトリガーが不可視(識別困難)となるバックドア攻撃が示された。この方式は、訓練データに追加される毒データのトリガーが不可視となるため、毒データの検知が非常に困難である。
Subsequently, Non-Patent
Furthermore, Non-Patent
機械学習システムの安全性評価を行うにあたって、より強力な攻撃手法を考慮することは、最悪のシナリオを想定し、より厳密な安全性評価を実施するために重要である。
しかしながら、非特許文献3のバックドア攻撃は、訓練データに混入させるtargetラベルの毒データを勾配最適化法によって生成することで不可視としていたが、訓練済みモデルのテスト(評価)時においては、sourceラベルの画像に可視のトリガー(パッチ画像)を付与したものを毒データとしていた。このため、テスト時にアノマリ検知等の対策を行うことで、毒データを容易に検知することが可能であった。
このように、訓練データ及びテストデータの双方でトリガーが不可視となるバックドア攻撃は、これまで考慮されていなかった。
When evaluating the security of machine learning systems, it is important to consider more powerful attack methods in order to assume worst-case scenarios and conduct more rigorous security evaluations.
However, in the backdoor attack of Non-Patent
Thus, backdoor attacks in which the trigger is invisible in both the training data and the test data have not been considered previously.
本発明は、従来よりも強力な攻撃手法に基づいて、機械学習システムの安全性をより厳密に評価するための評価用データ生成装置、安全性評価装置、評価用データ生成方法及び評価用データ生成プログラムを提供することを目的とする。 The present invention aims to provide an evaluation data generation device, a safety evaluation device, an evaluation data generation method, and an evaluation data generation program for more rigorously evaluating the safety of a machine learning system based on more powerful attack methods than conventional methods.
本発明に係る評価用データ生成装置は、第1のクラスのデータ群に対して識別困難な変動量のトリガーを付与することで、第2のクラスのデータ群との特徴量空間における距離に関する損失を最小化するよう更新した前記第1のクラスの毒データ群を生成する毒データ生成部と、バックドア攻撃におけるソースクラスのデータ群を前記第1のクラスのデータ群として、ターゲットクラスのデータ群を前記第2のクラスのデータ群として前記毒データ生成部に入力し、生成された毒ソースデータ群を、評価対象である分類システムのテストデータとして出力するテストデータ出力部と、前記ターゲットクラスのデータ群を前記第1のクラスのデータ群として、前記毒ソースデータ群を前記第2のクラスのデータ群として前記毒データ生成部に入力し、生成された毒ターゲットデータ群を、前記分類システムの訓練データとして出力する訓練データ出力部と、を備える。 The evaluation data generation device according to the present invention includes a poison data generation unit that generates a poison data group of a first class that is updated to minimize the loss of distance in feature space with a second class data group by adding a trigger with a variation amount that is difficult to distinguish to the first class data group; a test data output unit that inputs a source class data group in a backdoor attack as the first class data group and a target class data group as the second class data group to the poison data generation unit and outputs the generated poison source data group as test data for a classification system to be evaluated; and a training data output unit that inputs the target class data group as the first class data group and the poison source data group as the second class data group to the poison data generation unit and outputs the generated poison target data group as training data for the classification system.
前記テストデータ出力部は、複数のソースクラスそれぞれのデータ群と、単一のターゲットクラスのデータ群とを入力として生成された、各ソースクラスの毒データ群を均等に出力し、前記訓練データ出力部は、前記単一のターゲットクラスのデータ群と、前記複数のソースクラスそれぞれの毒データ群とを入力として生成された、各ソースクラスに対応する毒データ群を均等に出力してもよい。 The test data output unit may uniformly output poison data groups for each source class, which are generated using as input a data group for each of the multiple source classes and a data group for a single target class, and the training data output unit may uniformly output poison data groups corresponding to each source class, which are generated using as input a data group for the single target class and a poison data group for each of the multiple source classes.
前記損失は、クラス間で前記特徴量空間における距離を最小化するペア毎の、当該距離を総和した値として定義されてもよい。 The loss may be defined as the sum of the pairwise distances between classes that minimizes the distance in the feature space.
前記分類システムは、機械学習モデルにより画像を複数のクラスに分類するシステムであってもよい。 The classification system may be a system that classifies images into multiple classes using a machine learning model.
本発明に係る安全性評価装置は、前記毒データ生成部、前記テストデータ出力部及び前記訓練データ出力部と、前記毒ターゲットデータ群を前記分類システムの訓練データに混入させ、汚染モデルを生成するモデル生成部と、前記毒ソースデータ群をテストデータとして、前記汚染モデルによる誤分類率を測定し、当該誤分類率に基づいて攻撃に対する安全性の評価値を出力する評価部と、を備える。 The safety evaluation device according to the present invention includes the poison data generation unit, the test data output unit, and the training data output unit, a model generation unit that mixes the poison target data group with the training data of the classification system to generate a poisoned model, and an evaluation unit that measures the misclassification rate of the poisoned model using the poison source data group as test data and outputs an evaluation value of safety against attacks based on the misclassification rate.
本発明に係る評価用データ生成方法は、第1のクラスのデータ群に対して識別困難な変動量のトリガーを付与することで、第2のクラスのデータ群との特徴量空間における距離に関する損失を最小化するよう更新した前記第1のクラスの毒データ群を生成する毒データ生成アルゴリズムを用い、バックドア攻撃におけるソースクラスのデータ群を前記第1のクラスのデータ群として、ターゲットクラスのデータ群を前記第2のクラスのデータ群として前記毒データ生成アルゴリズムに入力し、生成された毒ソースデータ群を、評価対象である分類システムのテストデータとして出力するテストデータ出力ステップと、前記ターゲットクラスのデータ群を前記第1のクラスのデータ群として、前記毒ソースデータ群を前記第2のクラスのデータ群として前記毒データ生成アルゴリズムに入力し、生成された毒ターゲットデータ群を、前記分類システムの訓練データとして出力する訓練データ出力ステップと、をコンピュータが実行する。 The evaluation data generation method according to the present invention uses a poison data generation algorithm that generates a first class of poison data group updated to minimize the loss of distance in feature space with a second class data group by adding a trigger with a variation amount that is difficult to distinguish to the first class data group, and inputs a source class data group in a backdoor attack as the first class data group and a target class data group as the second class data group into the poison data generation algorithm, and outputs the generated poison source data group as test data for the classification system to be evaluated, and executes a training data output step in which the target class data group is input as the first class data group and the poison source data group as the second class data group into the poison data generation algorithm, and outputs the generated poison target data group as training data for the classification system.
本発明に係る評価用データ生成プログラムは、前記評価用データ生成装置としてコンピュータを機能させるためのものである。 The evaluation data generation program according to the present invention is for causing a computer to function as the evaluation data generation device.
本発明によれば、訓練データ及びテストデータの双方でトリガーが不可視となるバックドア攻撃に基づいて、機械学習システムの安全性をより厳密に評価することができる。 The present invention allows for a more rigorous evaluation of the security of machine learning systems based on backdoor attacks whose triggers are invisible in both training data and test data.
以下、本発明の実施形態の一例について説明する。
本実施形態では、機械学習モデルを用いた分類システムに対するバックドア攻撃を想定し、訓練時のみならずテスト時においてもトリガーが識別困難となるクリーンラベルバックドア攻撃に対しての安全性評価を可能とする。
ここでは、評価対象の分類システムとして、機械学習モデルにより画像を複数のクラスに分類するシステムを例に、トリガーが識別困難、すなわち不可視となる攻撃アルゴリズムを提示する。
An example of an embodiment of the present invention will now be described.
In this embodiment, a backdoor attack against a classification system using a machine learning model is assumed, and it is possible to evaluate security against clean label backdoor attacks whose triggers are difficult to identify not only during training but also during testing.
Here, we use a system that classifies images into multiple classes using a machine learning model as an example of the classification system to be evaluated, and present an attack algorithm that makes the trigger difficult to identify, i.e., invisible.
図1は、本実施形態における安全性評価装置1の機能構成を示す図である。
安全性評価装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
なお、安全性評価装置1は、分類システムのバックドア攻撃に対する安全性の評価結果を出力するものとして構成するが、評価用データ(訓練データ及びテストデータ)を出力し、実際の評価ステップである機械学習モデルの訓練及びテストについては、他の処理装置が担ってもよい。
FIG. 1 is a diagram showing the functional configuration of a
The
The
制御部10は、安全性評価装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
具体的には、制御部10は、毒データ生成部11と、テストデータ出力部12と、訓練データ出力部13と、モデル生成部14と、評価部15とを備える。
The
Specifically, the
記憶部20は、ハードウェア群を安全性評価装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、評価用データ生成プログラム及び安全性評価プログラムの他、評価対象である機械学習モデルのパラメータ、各クラスのサンプルデータ、生成された訓練データ及びテストデータ等を記憶する。
The
Specifically, the
毒データ生成部11は、第1のクラスのデータ(例えば、画像)群に対して識別困難な変動量のトリガー(例えば、不可視なパッチ画像)を付与することで、第2のクラスのデータ群との特徴量空間、すなわち機械学習モデルの内部の層における特徴量の距離に関する損失を最小化するよう更新した第1のクラスの毒データ群を生成する。
The poison
ここで、損失は、クラス間で特徴量空間における距離を最小化するペア毎の、距離を総和した値として定義される。距離は、例えばL2距離、又はその二乗距離であってよい。
また、損失を最少化する手法としては、例えば、勾配最適化法が利用され、後述のアルゴリズムにより、毒データ生成部11は、第1のクラスのデータから所定以内の変動量で特徴量空間における距離を第2のクラスに近づけた毒データ群を生成する。
Here, the loss is defined as the sum of pairwise distances that minimizes the distance in feature space between classes. The distance may be, for example, the L2 distance or its squared distance.
In addition, as a method for minimizing losses, for example, gradient optimization is used, and using an algorithm described below, the poison
テストデータ出力部12は、バックドア攻撃におけるsourceクラスのデータ群を第1のクラスのデータ群として、targetクラスのデータ群を第2のクラスのデータ群として毒データ生成部11に入力し、生成された毒sourceデータ群を、評価対象である分類システムのテストデータとして出力する。
The test
訓練データ出力部13は、targetクラスのデータ群を第1のクラスのデータ群として、テストデータ出力部12により出力された毒sourceデータ群を第2のクラスのデータ群として毒データ生成部11に入力し、生成された毒targetデータ群を、分類システムの訓練データとして出力する。
The training
なお、分類システムは、多クラス分類を行うものであってよく、バックドア攻撃におけるsourceクラスが複数設定されてもよい。この場合も、targetクラスは単一であり、トリガーが付与された複数のsourceクラスのデータ(画像)をtargetクラスに誤分類させる攻撃を想定する。 The classification system may perform multi-class classification, and multiple source classes may be set for a backdoor attack. In this case, the target class is also single, and an attack is assumed in which data (images) of multiple source classes to which a trigger is attached are misclassified into the target class.
この場合、テストデータ出力部12は、複数のsourceクラスそれぞれのデータ群と、単一のtargetクラスのデータ群とを入力として生成された、各sourceクラスの毒データ群を均等に出力する。
また、訓練データ出力部13は、単一のtargetクラスのデータ群と、複数のsourceクラスそれぞれの毒データ群とを入力として生成された、各sourceクラスに対応する毒データ群を均等に出力する。
In this case, the test
Furthermore, the training
モデル生成部14は、訓練データ出力部13により出力された毒targetデータ群を分類システムの訓練データに混入させ、汚染モデルを生成する。
The
評価部15は、テストデータ出力部12により出力された毒sourceデータをテストデータとして、汚染モデルによる誤分類率を測定し、この誤分類率に基づいて攻撃に対する安全性の評価値を出力する。
The
図2は、本実施形態との対比のため、従来の安全性評価方法のうち、安全性評価のための訓練データ及びテストデータの生成手順を示す図である。
ここでは、画像の分類システムに対するクリーンラベルバックドア攻撃を対象としている。
FIG. 2 is a diagram showing a procedure for generating training data and test data for safety evaluation in a conventional safety evaluation method, for comparison with this embodiment.
Here, we focus on clean-label backdoor attacks against image classification systems.
まず、source画像に対して、トリガーである可視のパッチ画像を付加することで、テストデータとしている。
次に、このテストデータとtarget画像との関係性を最適化することにより、トリガーが不可視の毒target画像が生成され、これが訓練データとして利用される。
First, a visible patch image, which acts as a trigger, is added to the source image to create test data.
Next, by optimizing the relationship between this test data and the target image, a poison target image in which the trigger is invisible is generated, and this is used as training data.
図3は、本実施形態における安全性評価方法のうち、安全性評価のための訓練データ及びテストデータの生成手順を示す図である。
従来と比較して、テストデータとなるsource側の毒データについても、トリガーが不可視となる。
FIG. 3 is a diagram showing a procedure for generating training data and test data for safety evaluation in the safety evaluation method according to this embodiment.
Compared to the conventional method, the trigger is also invisible for the poison data on the source side that is the test data.
手順1において、テストデータ出力部12は、不可視となるsource側の毒データを、勾配最適化アルゴリズムを用いて作成し、テストデータとする。本アルゴリズムは、ランダムに抽出されたK1個のsource画像とK1個のtarget画像とを入力とし、K1個のトリガーが不可視となる毒source画像を出力するものである。
In
手順2において、訓練データ出力部13は、手順1と同様の勾配最適化アルゴリズムを用いて、K2個のトリガーが不可視となる毒target画像を生成し、訓練データとする。ここでは、ランダムに抽出されたK2個のtarget画像と、手順1で生成されたK1個の毒source画像とを勾配最適化アルゴリズムに入力することで、K2個のトリガーが不可視となる毒target画像が出力される。
In
このようにして評価用データが生成されると、手順2で生成されたK2個の毒target画像を訓練データに混入させることで汚染モデルが生成される。汚染モデルに対して、手順1で生成された毒source画像を入力したときにtargetクラスに誤分類された割合(攻撃成功率)を測定することで、評価対象である分類モデルの不可視クリーンラベルバックドア攻撃アルゴリズムに対する脆弱性を測定することができる。
Once the evaluation data is generated in this manner, a tainted model is generated by mixing the K2 poison target images generated in
図4は、本実施形態における毒データ生成部11が実行するアルゴリズムを例示する図である。
前述の手順1及び手順2は、このGenerate-Invisible-Poison関数(Algorithm 1)を用いて実装される。
この関数は、aクラスのデータxa、及びbクラスのデータxbを入力とし、勾配最適化法により、aクラスの毒データ^xaを出力するものである。
FIG. 4 is a diagram illustrating an algorithm executed by the poison
The above-mentioned
This function receives data x a of class a and data x b of class b as input, and outputs poison data ^x a of class a using the gradient optimization method.
1行目:毒データ生成部11は、K個の毒データ^xa
(i)を、クラスaのK個のデータxa
(i)(1≦i≦K)で初期化する。
2行目:毒データ生成部11は、予め設定された所定の回数(n回)だけ3~6行目を繰り返す。
3行目:毒データ生成部11は、後述のFind-Closest-Pair関数を用いて、^xaとxbとの1対1の写像m[i]を計算する。
First line: the poison
Line 2: The poison
Line 3: The poison
ここで、m[i]は、各ペア(^xa (i),xb (m[i]))に対する、モデルの特徴量空間f()におけるL2距離∥f(^xa (i))-f(xb (m[i]))∥2が最小化するように選択される。こうすることで、モデルの特徴量空間において類似するクラスaとクラスbのデータのペアが得られる。 Here, m[i] is selected so as to minimize the L2 distance ∥f(^ xa (i) )-f( xb (m[i] ) ) ∥2 in the model's feature space f() for each pair (^ xa (i) , xb (m[i]) . In this way, pairs of data of class a and class b that are similar in the model's feature space are obtained.
4行目:毒データ生成部11は、3行目で得られたK個のペアに対して、特徴量空間における損失(二乗距離)の和Lを計算する。
5行目:毒データ生成部11は、Lの^xa
(i)方向の勾配∇^xa
(i)Lを計算し、損失Lが小さくなるように毒データの値^xa
(i)を更新する。ここで、ηは学習率である。
6行目:毒データの不可視性を担保するためのステップであり、毒データ生成部11は、毒データ^xa
(i)と、ラベルaの元のデータxa
(i)との各要素間の距離がεより大きくなった場合、丁度εとなるように修正する。
7行目:毒データ生成部11は、トリガーが不可視であるクラスaのK個の毒データ^xaを出力する。
Line 4: The poison
Line 5: The
Line 6: This is a step for ensuring the invisibility of the poison data. If the distance between each element of the poison data ^x a (i) and the original data x a (i) of label a becomes larger than ε, the poison
Line 7: The poison
図5は、本実施形態における毒データ生成部11が実行するFind-Closest-Pair関数(Algorithm 2)を例示する図である。
この関数は、前述のように、モデルの特徴量空間において類似するクラスaとクラスbのデータのペアを求めるものであり、具体的な処理手順は、次の通りである。
FIG. 5 is a diagram illustrating the Find-Closest-Pair function (Algorithm 2) executed by the poison
As described above, this function is used to find pairs of data of classes a and b that are similar in the feature space of the model, and the specific processing procedure is as follows.
1行目:毒データ生成部11は、[1,…,K]のK個の集合Jを定義する。
2行目:毒データ生成部11は、1からKまで、3~11行目を繰り返す。
3行目:毒データ生成部11は、二乗距離の最小値distminを∞に初期化する。
4行目:毒データ生成部11は、jminを∞に初期化する。
First line: The poison
Line 2: The poison
Line 3: The poison
Line 4: The poison
5行目:毒データ生成部11は、Jに含まれる要素jについて、6~9行目を繰り返す。
6行目:毒データ生成部11は、i番目のクラスaの毒データ^xa
(i)に対して、j番目のクラスbのデータxb
(j)とのL2距離∥f(^xa
(i))-f(xb
(m[i]))∥2の二乗を算出する。
7行目:毒データ生成部11は、算出された二乗距離distがdistminより小さい場合、8~9行目を実行する。
8行目:毒データ生成部11は、distminをdistに更新する。
9行目:毒データ生成部11は、jminに、現時点で二乗距離を最小とするjを保存する。
Line 5: The poison
Line 6: The poison
Line 7: If the calculated square distance dist is smaller than dist min , the poison
Line 8: The poison
Line 9: The poison
10行目:毒データ生成部11は、写像m[i]にjminを格納する。
11行目:毒データ生成部11は、集合Jからjminを削除する。
12行目:毒データ生成部11は、写像mを出力する。
Line 10: The
Line 11: The poison
Line 12: The
次に、Generate-Invisible-Poison関数(Algorithm 1)を用いて、前述の手順1及び手順2を実装する方法を説明する。
まず、テストデータ出力部12は、パラメータのaをsourceクラス、bをtargetクラスとしてAlgorithm 1(毒データ生成部11)を呼び出す。こうすることで、Algorithm 1は、トリガーが不可視である毒source画像をK1個出力する。
Next, a method for implementing the
First, the test
続いて、訓練データ出力部13は、パラメータのxaをK2個のtarget画像、xbをテストデータ出力部12が作成したK1個の毒source画像としてAlgorithm 1(毒データ生成部11)を呼び出す。こうすることで、Algorithm 1は、トリガーが不可視である毒target画像をK2個出力する。
Next, the training
なお、K1<K2の場合は、毒source画像をK2-K1個だけ複製することで、両クラスの画像枚数を一致させる。K1>K2の場合も同様に画像を複製することで両クラスの画像枚数を一致させる。このようにして、モデルの訓練に使用するtarget毒画像、及びモデルのテスト(評価)に使用するsource毒画像の両方を生成することができる。 If K1 < K2 , the poison source image is duplicated by K2 - K1 to make the number of images in both classes equal. If K1 > K2 , the image is duplicated in a similar manner to make the number of images in both classes equal. In this way, both the target poison image used for training the model and the source poison image used for testing (evaluating) the model can be generated.
また、多クラス分類システムに対して、マルチソースの攻撃、すなわち複数のsourceクラスから単一のtargetクラスへ誤分類させる攻撃を想定した場合の評価方法は、次のように構成できる。 In addition, when assuming a multi-source attack against a multi-class classification system, i.e. an attack that misclassifies multiple source classes into a single target class, the evaluation method can be configured as follows.
sourceクラス数をn(それぞれs1,s2,…,snと書く)とし、targetクラスは1つ(tと書く)とする。このとき、テストデータ出力部12は、aをsi(1≦i≦n)クラス、bをtクラスとしてAlgorithm 1(毒データ生成部11)をn回呼び出す。こうすることで、各sourceクラスsiに対して、トリガーが不可視である毒source画像がそれぞれK1個(合計nK1個)得られる。
The number of source classes is n (respectively written as s 1 , s 2 , ..., s n ), and the number of target classes is one (written as t). In this case, the test
続いて、訓練データ出力部13は、各sourceクラスsiのK1個の毒source画像と、targetクラスtのK2個の画像とを入力としてAlgorithm 1(毒データ生成部11)を呼び出す。こうすることで、各sourceクラスsiに対して、トリガーが不可視である毒target画像がそれぞれK2個(合計nK2個)得られる。
Next, the training
訓練データに毒target画像を混入させる際には、各sourceクラスsiに結びついた毒target画像を均等に混入させるのが好ましい。よって、訓練データに混入させる毒データ数をpとしたとき、モデル生成部14は、各sourceクラスからp/n個ずつ毒target画像を混入させてよい。各sourceクラスのK2個の毒target画像からp/n個を選択する方法としては、例えば、ランダムに選択する方法や、Find-Closest-Pair関数で選ばれた上位p/n個を選択する方法等がある。
また、攻撃に対する安全性を評価する際には、評価部15は、汚染されたモデルに対して、各sourceクラスsiから均等に毒source画像を入力し、targetクラスへの誤分類率を測定する。
When mixing poison target images into training data, it is preferable to mix poison target images associated with each source class s i evenly. Therefore, when the number of poison data to be mixed into training data is p, the
Furthermore, when evaluating security against attacks, the
本実施形態によれば、安全性評価装置1は、バックドア攻撃におけるsourceクラスのデータ群、及びtargetクラスのデータ群を入力として、特徴量空間における距離に関する損失を最小化するように毒sourceデータ群を生成し、評価対象である分類システムのテストデータとして出力する。また、安全性評価装置1は、targetクラスのデータ群、及び毒ソースデータ群を入力として、特徴量空間における距離に関する損失を最小化するように毒targetデータ群を生成し、分類システムの訓練データとして出力する。
したがって、安全性評価装置1は、訓練データ及びテストデータの双方でトリガーが不可視となるクリーンラベル型のバックドア攻撃を想定した評価用データを出力できる。これにより、機械学習システムの安全性をより厳密に評価することができる。
According to this embodiment, the
Therefore, the
また、安全性評価装置1は、テストデータとして、複数のsourceクラスそれぞれのデータ群と、単一のtargetクラスのデータ群とを入力として生成された、各sourceクラスの毒データ群を均等に出力し、訓練データとして、単一のtargetクラスのデータ群と、複数のsourceクラスそれぞれの毒データ群とを入力として生成された、各sourceクラスに対応する毒targetデータ群を均等に出力することもできる。
これにより、安全性評価装置1は、2値分類の場合に限らず、多クラス・マルチソースのバックドア攻撃を想定した評価用データを出力し、より強力な攻撃に対する機械学習システムの安全性評価を可能とする。
In addition, the
As a result, the
安全性評価装置1は、毒データ生成するために勾配最適化法を利用するにあたり、クラス間での特徴量空間における距離を最小化するペア毎の、距離を総和した値として損失を定義する。これにより、安全性評価装置1は、トリガーが不可視の毒データを適切に生成できる。
When using gradient optimization to generate poison data, the
本実施形態では、分類システムとして、機械学習モデルにより画像を複数のクラスに分類するシステムを例示したが、これには限られず、識別困難(例えば不可視)なトリガーによるクリーンラベル型のバックドア攻撃が想定される様々な分類システムに適用可能である。 In this embodiment, a system that classifies images into multiple classes using a machine learning model is used as an example of a classification system, but the present invention is not limited to this and can be applied to various classification systems in which clean-label type backdoor attacks using triggers that are difficult to identify (e.g., invisible) are anticipated.
なお、これにより、例えば、より厳密な評価に基づいて安全な分類システムを構築できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進すると共に、イノベーションの拡大を図る」に貢献することが可能となる。
This will, for example, enable the creation of a safe classification system based on more rigorous evaluation, which will contribute to
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Furthermore, the effects described in the above-described embodiments are merely a list of the most favorable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the embodiments.
安全性評価装置1による安全性評価方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
The safety evaluation method using the
1 安全性評価装置
10 制御部
11 毒データ生成部
12 テストデータ出力部
13 訓練データ出力部
14 モデル生成部
15 評価部
20 記憶部
REFERENCE SIGNS
Claims (7)
バックドア攻撃におけるソースクラスのデータ群を前記第1のクラスのデータ群として、ターゲットクラスのデータ群を前記第2のクラスのデータ群として前記毒データ生成部に入力し、生成された毒ソースデータ群を、評価対象である分類システムのテストデータとして出力するテストデータ出力部と、
前記ターゲットクラスのデータ群を前記第1のクラスのデータ群として、前記毒ソースデータ群を前記第2のクラスのデータ群として前記毒データ生成部に入力し、生成された毒ターゲットデータ群を、前記分類システムの訓練データとして出力する訓練データ出力部と、を備える評価用データ生成装置。 a poison data generation unit that generates a poison data group of the first class that is updated so as to minimize a loss in distance in feature space with a data group of a second class by adding a trigger of a variation amount that is difficult to distinguish to the data group of the first class;
a test data output unit that inputs a source class data group in a backdoor attack as the first class data group and a target class data group as the second class data group to the poison data generation unit, and outputs the generated poison source data group as test data for a classification system to be evaluated;
an evaluation data generation device comprising: a training data output unit that inputs the target class data group as the first class data group and the poison source data group as the second class data group into the poison data generation unit, and outputs the generated poison target data group as training data for the classification system.
前記訓練データ出力部は、前記単一のターゲットクラスのデータ群と、前記複数のソースクラスそれぞれの毒データ群とを入力として生成された、各ソースクラスに対応する毒データ群を均等に出力する請求項1に記載の評価用データ生成装置。 the test data output unit outputs a poison data group for each source class equally, the poison data group being generated by inputting a data group for each of a plurality of source classes and a data group for a single target class;
The evaluation data generation device according to claim 1, wherein the training data output unit uniformly outputs poison data groups corresponding to each source class, the poison data groups being generated by inputting a data group of the single target class and a poison data group of each of the multiple source classes.
前記毒ターゲットデータ群を前記分類システムの訓練データに混入させ、汚染モデルを生成するモデル生成部と、
前記毒ソースデータ群をテストデータとして、前記汚染モデルによる誤分類率を測定し、当該誤分類率に基づいて攻撃に対する安全性の評価値を出力する評価部と、を備える安全性評価装置。 A poison data generating unit, a test data output unit, and a training data output unit according to claim 1 or 2;
a model generation unit that mixes the poison target data group with training data of the classification system to generate a contamination model;
and an evaluation unit that measures a misclassification rate by the tainted model using the group of poison source data as test data, and outputs an evaluation value of safety against attacks based on the misclassification rate.
バックドア攻撃におけるソースクラスのデータ群を前記第1のクラスのデータ群として、ターゲットクラスのデータ群を前記第2のクラスのデータ群として前記毒データ生成アルゴリズムに入力し、生成された毒ソースデータ群を、評価対象である分類システムのテストデータとして出力するテストデータ出力ステップと、
前記ターゲットクラスのデータ群を前記第1のクラスのデータ群として、前記毒ソースデータ群を前記第2のクラスのデータ群として前記毒データ生成アルゴリズムに入力し、生成された毒ターゲットデータ群を、前記分類システムの訓練データとして出力する訓練データ出力ステップと、をコンピュータが実行する評価用データ生成方法。 A poison data generation algorithm is used to generate a poison data group of the first class, which is updated so as to minimize a loss in distance in feature space between the first class data group and the second class data group by adding a trigger of a variation amount that is difficult to distinguish to the first class data group;
a test data output step of inputting a source class data group in a backdoor attack as the first class data group and a target class data group as the second class data group into the poison data generation algorithm, and outputting the generated poison source data group as test data for a classification system to be evaluated;
A method for generating evaluation data executed by a computer, comprising: inputting the target class data group as the first class data group and the poison source data group as the second class data group into the poison data generation algorithm, and outputting the generated poison target data group as training data for the classification system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022097113A JP7630464B2 (en) | 2022-06-16 | 2022-06-16 | EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022097113A JP7630464B2 (en) | 2022-06-16 | 2022-06-16 | EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023183543A JP2023183543A (en) | 2023-12-28 |
| JP7630464B2 true JP7630464B2 (en) | 2025-02-17 |
Family
ID=89333360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022097113A Active JP7630464B2 (en) | 2022-06-16 | 2022-06-16 | EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7630464B2 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220027462A1 (en) | 2020-01-23 | 2022-01-27 | Fudan University | System and Method for Video Backdoor Attack |
-
2022
- 2022-06-16 JP JP2022097113A patent/JP7630464B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220027462A1 (en) | 2020-01-23 | 2022-01-27 | Fudan University | System and Method for Video Backdoor Attack |
Non-Patent Citations (1)
| Title |
|---|
| SAHA Aniruddha et al.,Hidden Trigger Backdoor Attacks,Proceedings of the AAAI Conference on Artificial Intelligence (AAAI-20),2020年04月03日,Vol.34 No.07,pp.11957-11965 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023183543A (en) | 2023-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Anthi et al. | Hardening machine learning denial of service (DoS) defences against adversarial attacks in IoT smart home networks | |
| Chen et al. | Deepinspect: A black-box trojan detection and mitigation framework for deep neural networks. | |
| Zhang et al. | Semantics-preserving reinforcement learning attack against graph neural networks for malware detection | |
| Barbalau et al. | Black-box ripper: Copying black-box models using generative evolutionary algorithms | |
| Hans et al. | Be like a goldfish, don't memorize! mitigating memorization in generative llms | |
| Wang et al. | Multi-target label backdoor attacks on graph neural networks | |
| Goodfellow | A research agenda: Dynamic models to defend against correlated attacks | |
| Fiza et al. | Improved chimp optimization algorithm (ICOA) feature selection and deep neural network framework for internet of things (IOT) based android malware detection | |
| Girgis et al. | Automatic data flow test paths generation using the genetical swarm optimization technique | |
| Cai et al. | Ensemble-in-one: Ensemble learning within random gated networks for enhanced adversarial robustness | |
| Krishna et al. | Adapting to evasive tactics through resilient adversarial machine learning for malware detection | |
| Cao et al. | Data free backdoor attacks | |
| JP7630464B2 (en) | EVALUATION DATA GENERATION DEVICE, SAFETY EVALUATION DEVICE, EVALUATION DATA GENERATION METHOD, AND EVALUATION DATA GENERATION PROGRAM | |
| Zhou et al. | Malpurifier: Enhancing android malware detection with adversarial purification against evasion attacks | |
| Amrith et al. | An early malware threat detection model using Conditional Tabular Generative Adversarial Network | |
| CN113011601A (en) | Member reasoning attack method on machine learning as a service platform | |
| Li et al. | Not just change the labels, learn the features: Watermarking deep neural networks with multi-view data | |
| Khaled | Artificial immune clonal selection classification algorithms for classifying malware and benign processes using API call sequences | |
| Boro et al. | Anomaly based intrusion detection using meta ensemble classifier | |
| Nguyen et al. | Attack On Prompt: Backdoor Attack in Prompt-Based Continual Learning | |
| JP2022090432A (en) | Safety evaluation device, safety evaluation method, and safety evaluation device program | |
| Yang et al. | Naturalfinger: Generating natural fingerprint with generative adversarial networks | |
| Li et al. | A4FL: federated adversarial defense via adversarial training and pruning against backdoor attack | |
| Sun et al. | EntropyMark: Towards more harmless backdoor watermark via entropy-based constraint for open-source dataset copyright protection | |
| Patil et al. | Comparative Analysis of Weighted Ensemble and Majority Voting Algorithms for Intrusion Detection in OpenStack Cloud Environments. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240620 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7630464 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |