Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7825105B2 - Securing machine learning models against adversarial examples via backdoor misclassification - Google Patents
[go: Go Back, main page]

JP7825105B2 - Securing machine learning models against adversarial examples via backdoor misclassification - Google Patents

Securing machine learning models against adversarial examples via backdoor misclassification

Info

Publication number
JP7825105B2
JP7825105B2 JP2023537385A JP2023537385A JP7825105B2 JP 7825105 B2 JP7825105 B2 JP 7825105B2 JP 2023537385 A JP2023537385 A JP 2023537385A JP 2023537385 A JP2023537385 A JP 2023537385A JP 7825105 B2 JP7825105 B2 JP 7825105B2
Authority
JP
Japan
Prior art keywords
backdoored
model
sample
trigger
machine learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023537385A
Other languages
Japanese (ja)
Other versions
JP2024508582A (en
Inventor
セバスティアン・アンドレイナ
ジョルジア・アズーラ・マルソン
ガッサン・カラメ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/342,571 external-priority patent/US11977626B2/en
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2024508582A publication Critical patent/JP2024508582A/en
Application granted granted Critical
Publication of JP7825105B2 publication Critical patent/JP7825105B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/09Supervised learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Image Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、人工知能(AI)用途において使用可能な、敵対的サンプルを検出するための、詳細には機械学習モデルおよびニューラルネットワークを安全にするための、方法、システムおよびコンピュータ可読媒体に関する。 The present invention relates to a method, system, and computer-readable medium for detecting adversarial samples, particularly for securing machine learning models and neural networks, that can be used in artificial intelligence (AI) applications.

機械学習は、漸進的な改善および発展により、多くの日常的な技術システムの不可欠な部分になった。機械学習は、大抵の場合、安全性に関するシナリオにおいて、技術システムの重要な部分として使用される。したがって、攻撃および/または強要下でのそのようなモデルの頑健性の欠如が、技術システムの安全障害をもたらす恐れがある。 With gradual improvements and developments, machine learning has become an integral part of many everyday technical systems. Machine learning is often used as a critical part of technical systems in safety-related scenarios. Therefore, the lack of robustness of such models under attack and/or duress can lead to safety failures of the technical systems.

詳細には、過去数十年間において、ニューラルネットワークベースの画像分類は、その多様性、小さい実現要求および精度のために、関心が大いに高まっている。しかしながら、ニューラルネットワークは、十分には理解されておらず、誤分類を引き起こすために目視では判別できないように通常のサンプルに対して念入りに作られた修正である敵対的サンプルを使用する攻撃などの攻撃に対して脆弱である。 In particular, over the past few decades, neural network-based image classification has attracted much interest due to its versatility, low implementation requirements, and accuracy. However, neural networks are not well understood and are vulnerable to attacks such as those using adversarial samples, which are carefully crafted modifications of normal samples that are imperceptible to the human eye to induce misclassification.

近年、深層学習は、ビッグデータおよびより容易に利用可能な計算パワーの高まりによって加速され、急速に進歩した。しかしながら、深層学習は、予測における自信過剰のために、敵対的混乱に対して特に弱いことが判明した。機械学習コミュニティは、深層学習モデルを安全にする技術的課題に取り組んでいる。敵対者は、有効なデータサンプルに対して、念入りに作られた混乱を導入することにより、しばしば機械学習モデルを欺くことできる。混乱は、気付かれないようにできるだけ小さく、それでもなおモデルの本来の正確な予測を変化させるほど十分に大きく、選択される。たとえば、画像認識の分野では、これは、犬の画像を変化させて、変更された画像を視覚的には原本と判別不能に保ったまま、モデルの、犬の正確な予測を、ある別の動物の予測に変化させることができるであろう。 Deep learning has advanced rapidly in recent years, fueled by the rise of big data and more readily available computing power. However, deep learning has proven particularly vulnerable to adversarial perturbations due to overconfidence in its predictions. The machine learning community is grappling with the technical challenge of securing deep learning models. Adversaries can often fool machine learning models by introducing carefully crafted perturbations to valid data samples. The perturbations are chosen to be as small as possible so as to be unnoticeable, yet large enough to alter the model's originally accurate predictions. For example, in the field of image recognition, this would allow an adversary to alter an image of a dog to change the model's accurate prediction of a dog to that of some other animal, while keeping the altered image visually indistinguishable from the original.

実用モデルには、特に機械学習の統計的性質のために誤りが常に存在するので、ニューラルネットワークまたは機械学習モデルに対する攻撃から保護するには複数の技術的な課題がある。攻撃に対する既存の提案された防御は、敵対者が敵対的サンプルを作成するのをより困難にするために、モデルパラメータを秘密にすることに基づくものである。しかしながら、最近の研究により、サロゲートモデル(攻撃されるモデルに類似のクラスにおいて局所的に訓練されたモデル)上で作成された敵対的サンプルが、ターゲットモデル上に高い確率(>90%)で転移し、この特性は、サロゲートモデルが、ターゲットモデルと同一の内部レイアウト(たとえば異なる層数/層サイズ)を有しない場合にも、同一の精度を有しない場合にも(たとえばサロゲートモデル約90%対ターゲットモデル約99%)当てはまることが示された。サロゲートモデルはターゲットモデルのエミュレーションである。サロゲートモデルは、ターゲットモデルに対するブラックボックスアクセスを有する攻撃者によって、入力xの任意の選択肢を指定してモデルの予測y=f(x)を取得することができるように作成される。ターゲットモデルのパラメータは、通常、秘密に保たれるが、入出力の対(x, f(x))に対して機械学習モデルを訓練することにより、有効なサロゲートモデルを取得することができ、しかもサロゲートモデルをバイパスする最も敵対的なサンプルはターゲットモデルも欺くという意味で「有効である」ことが調査によって示されている。 Protecting against attacks on neural networks or machine learning models poses several technical challenges, as errors will always exist in practical models, especially due to the statistical nature of machine learning. Existing proposed defenses against attacks are based on keeping model parameters secret to make it more difficult for adversaries to create adversarial samples. However, recent research has shown that adversarial samples created on surrogate models (models locally trained on classes similar to the model under attack) transfer to the target model with high probability (>90%), and this property holds even when the surrogate model does not have the same internal layout (e.g., different number/size of layers) or identical accuracy as the target model (e.g., approximately 90% for surrogate model vs. approximately 99% for target model). A surrogate model is an emulation of the target model. A surrogate model is created so that an attacker with black-box access to the target model can obtain the model's prediction y=f(x) given any choice of input x. The parameters of the target model are typically kept secret, but by training a machine learning model on the input-output pair (x, f(x)), we can obtain a valid surrogate model, and research has shown that it is "valid" in the sense that the most adversarial examples that bypass the surrogate model will also fool the target model.

Goodfellow、Ian J.ら、"Explaining and Harnessing Adversarial Examples"、arXiv: 1412.6572、International Conference on Learning Representations 2015の会議資料、1~11頁(2015年3月20日)、Kurakin、Alexeyら、"Adversarial Examples in the Physical World"、arXiv: 1607.02533、Workshop at International Conference on Learning Representations 2017、1~14頁(2017年2月11日)、Carlini、Nicholasら、"Towards Evaluating the Robustness of Neural Networks"、arXiv: 1608.04644、Clinical Orthopedics and Related Research: 1~19頁(2018年8月13日)、Tramer、Florianら、"Ensemble Adversarial Training: Attacks and Defenses"、arXiv: 1705.07204、International Conference on Learning Representations 2018の会議資料、1~22頁(2018年1月30日)、Madry、Aleksanderら、"Towards Deep Learning Models Resistant to Adversarial Attacks"、arXiv: 1706:06083、International Conference on Learning Representations 2018の会議資料、1~28頁(2017年11月9日)、Dong、Yinpengら、"Boosting Adversarial Attacks with Momentum"、arXiv: 1710.06081、CVPR2018: 1~12頁(2018年3月22日)、Zhang、Hongyangら、"Theoretically Principled Trade-Off between Robustness and Accuracy"、arXiv: 1901:08573、International Conference on Machine Learningの会議資料: 1~31頁(2019年6月24日)、Liu、Xuanqingら、"Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network"、arXiv: 1810.01279、Clinical Orthopedics and Related Research: 1~3頁(2019年5月4日)、Wong、Ericら、"Fast is better than free: Revisiting adversarial training"、arXiv: 2001.03994、ICLR 2020の会議資料、1~17頁(2020年1月12日)、Moosavi-Dezfooli、Seyed-Mohsenら、"DeepFool: a simple and accurate method to fool deep neural networks"、arXiv: 1511.04599、IEEE Conference on Computer Vision and Pattern Recognition (CVPR) 2016の議事録、1~9頁(2016年7月4日)、Wang、Yueら、"Stop-and-Go: Exploring Backdoor Attacks on Deep Reinforcement Learning-based Traffic Congestion Control Systems"、arXiv: 2003.07859、1~19頁(2020年6月8日)、およびZimmermann、Roland S.、"Comment on 'Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network'"、arXiv: 1907.00895 (2019年7月2日)は、それぞれ、以下で参照される微細な攻撃(Goodfellow、Ian J.らの文献およびTramer、Florianらの文献)およびより強力な攻撃(Carlini、Nicholasらの文献およびMadry、Aleksanderらの文献)を含む種々の攻撃を論じている。前述の公刊資料の各々が、ここで、参照によって全体が本明細書に組み込まれる。 Goodfellow, Ian J. et al., "Explaining and Harnessing Adversarial Examples," arXiv: 1412.6572, Conference Proceedings of the International Conference on Learning Representations 2015, pp. 1-11 (March 20, 2015); Kurakin, Alexey et al., "Adversarial Examples in the Physical World," arXiv: 1607.02533, Workshop at International Conference on Learning Representations 2017, pp. 1-14 (February 11, 2017); Carlini, Nicholas et al., "Towards Evaluating the Robustness of Neural Networks," arXiv: 1608.04644, Clinical Orthopedics and Related Research: pp. 1-19 (August 13, 2018); Tramer, Florian et al., "Ensemble Adversarial Training: Attacks and Defenses", arXiv: 1705.07204, Conference Proceedings of the International Conference on Learning Representations 2018, pp. 1-22 (January 30, 2018). Madry, Aleksander et al., "Towards Deep Learning Models Resistant to Adversarial Attacks", arXiv: 1706:06083, Conference Proceedings of the International Conference on Learning Representations 2018, pp. 1-28 (November 9, 2017). Dong, Yinpeng et al., "Boosting Adversarial Attacks with Momentum", arXiv: 1710.06081, CVPR2018: pp. 1-12 (March 22, 2018). Zhang, Hongyang et al., "Theoretically Principled Trade-Off between Robustness and Accuracy", arXiv: 1901:08573, Conference Proceedings of the International Conference on Machine Learning: pp. 1-31 (June 24, 2019); Liu, Xuanqing et al., "Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network", arXiv: 1810.01279, Clinical Orthopedics and Related Research: pp. 1-3 (May 4, 2019); Wong, Eric et al., "Fast is better than free: Revisiting adversarial training", arXiv: 2001.03994, Conference Proceedings of ICLR 2020, pp. 1-17 (January 12, 2020); Moosavi-Dezfooli, Seyed-Mohsen et al., "DeepFool: a simple and accurate method to fool deep neural networks", arXiv: 1511.04599, Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition (CVPR) 2016, pp. 1-9 (July 4, 2016); Wang, Yue et al., "Stop-and-Go: Exploring Backdoor Attacks on Deep Reinforcement Learning-based Traffic Congestion Control Systems", arXiv: 2003.07859, pp. 1-19 (June 8, 2020); and Zimmermann, Roland S., "Comment on 'Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Networks'", arXiv: 1907.00895 (July 2, 2019), respectively, are examples of the micro-attacks referenced below (Goodfellow, Ian and Tramer, Florian et al.) and more powerful attacks (Carlini, Nicholas et al. and Madry, Aleksander et al.). Each of the foregoing publications is hereby incorporated by reference in its entirety.

Goodfellow、Ian J.ら、"Explaining and Harnessing Adversarial Examples"、arXiv: 1412.6572、International Conference on Learning Representations 2015の会議資料: 1~11頁(2015年3月20日)Goodfellow, Ian J. et al., "Explaining and Harnessing Adversarial Examples," arXiv: 1412.6572, Conference Proceedings of the International Conference on Learning Representations 2015: pp. 1–11 (March 20, 2015) Kurakin、Alexeyら、"Adversarial Examples in the Physical World"、arXiv: 1607.02533、Workshop at International Conference on Learning Representations 2017、1~14頁(2017年2月11日)Kurakin, Alexey et al., "Adversarial Examples in the Physical World," arXiv: 1607.02533, Workshop at International Conference on Learning Representations 2017, pp. 1–14 (February 11, 2017) Carlini、Nicholasら、"Towards Evaluating the Robustness of Neural Networks"、arXiv: 1608.04644、Clinical Orthopedics and Related Research: 1~19頁(2018年8月13日)Carlini, Nicholas et al., "Towards Evaluating the Robustness of Neural Networks," arXiv: 1608.04644, Clinical Orthopedics and Related Research: pp. 1–19 (August 13, 2018) Tramer、Florianら、"Ensemble Adversarial Training: Attacks and Defenses"、arXiv: 1705.07204、International Conference on Learning Representations 2018の会議資料、1~22頁(2018年1月30日)Tramer, Florian et al., "Ensemble Adversarial Training: Attacks and Defenses," arXiv: 1705.07204, Conference Proceedings of the International Conference on Learning Representations 2018, pp. 1–22 (January 30, 2018). Madry、Aleksanderら、"Towards Deep Learning Models Resistant to Adversarial Attacks"、arXiv: 1706:06083、International Conference on Learning Representations 2018の会議資料、1~28頁(2017年11月9日)Madry, Aleksander et al., "Towards Deep Learning Models Resistant to Adversarial Attacks," arXiv: 1706:06083, Conference Proceedings of the International Conference on Learning Representations 2018, pp. 1–28 (November 9, 2017) Dong、Yinpengら、"Boosting Adversarial Attacks with Momentum"、arXiv: 1710.06081、CVPR2018: 1~12頁(2018年3月22日)Dong, Yinpeng et al., "Boosting Adversarial Attacks with Momentum," arXiv: 1710.06081, CVPR2018: pp. 1–12 (March 22, 2018) Zhang、Hongyangら、"Theoretically Principled Trade-Off between Robustness and Accuracy"、arXiv: 1901:08573、International Conference on Machine Learningの会議資料: 1~31頁(2019年6月24日)Zhang, Hongyang et al., "Theoretically Principled Trade-Off between Robustness and Accuracy," arXiv: 1901:08573, Conference Proceedings of the International Conference on Machine Learning: pp. 1-31 (June 24, 2019) Liu、Xuanqingら、"Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network"、arXiv: 1810.01279、Clinical Orthopedics and Related Research: 1~3頁(2019年5月4日)Liu, Xuanqing et al., "Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network", arXiv: 1810.01279, Clinical Orthopedics and Related Research: pp. 1-3 (May 4, 2019) Wong、Ericら、"Fast is better than free: Revisiting adversarial training"、arXiv: 2001.03994、ICLR 2020の会議資料、1~17頁(2020年1月12日)Wong, Eric et al., "Fast is better than free: Revisiting adversarial training," arXiv: 2001.03994, Conference Proceedings of ICLR 2020, pp. 1–17 (January 12, 2020). Moosavi-Dezfooli、Seyed-Mohsenら、"DeepFool: a simple and accurate method to fool deep neural networks"、arXiv: 1511.04599、IEEE Conference on Computer Vision and Pattern Recognition (CVPR) 2016の議事録、1~9頁(2016年7月4日)Moosavi-Dezfooli, Seyed-Mohsen et al., "DeepFool: a simple and accurate method to fool deep neural networks," arXiv: 1511.04599, Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition (CVPR) 2016, pp. 1–9 (July 4, 2016) Wang、Yueら、"Stop-and-Go: Exploring Backdoor Attacks on Deep Reinforcement Learning-based Traffic Congestion Control Systems"、arXiv: 2003.07859、1~19頁(2020年6月8日)Wang, Yue et al., "Stop-and-Go: Exploring Backdoor Attacks on Deep Reinforcement Learning-based Traffic Congestion Control Systems," arXiv: 2003.07859, pp. 1–19 (June 8, 2020) Zimmermann、Roland S.、"Comment on 'Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network'"、arXiv: 1907.00895 (2019年7月2日)Zimmermann, Roland S., "Comment on 'Adv-BNN: Improved Adversarial Defense Through Robust Bayesian Neural Network'", arXiv: 1907.00895 (July 2, 2019)

一実施形態では、本発明は、敵対的サンプルに対して、真正な機械学習モデルを安全にするための方法を提供するものである。この方法は、分類されるサンプルにトリガを付加するステップa)と、トリガを使用してバックドア化されたバックドア化モデルを使用して、トリガを付加されたサンプルを分類するステップb)とを含む。ステップc)において、ステップb)におけるバックドア化モデルの出力がバックドア化モデルのバックドアクラスと同一であるかどうかが判定され、かつ/または、ステップb)からのロジットに対して、トリガを付加してバックドア化モデルに適用された真正なサンプルを使用して計算された正当なロジットと比較する外れ値検出方法が適用される。ステップd)によって、これらのステップa)~c)が、種々のトリガに関連付けられた種々のトリガおよびバックドア化モデルをそれぞれ使用して繰り返される。ステップe)において、サンプルが敵対的サンプルかどうかを判定するために、バックドア化モデルの出力のそれぞれが、バックドア化モデルのそれぞれのバックドアクラスと同じでなかった回数が所定の閾値と比較され、かつ/または外れ値検出方法を適用することによって判定された差が差閾値と比較される。 In one embodiment, the present invention provides a method for securing a genuine machine learning model against adversarial samples. The method includes step a) of adding a trigger to a sample to be classified; and step b) of classifying the triggered sample using a backdoored model backdoored using the trigger. In step c), it is determined whether the output of the backdoored model in step b) is identical to a backdoor class of the backdoored model, and/or an outlier detection method is applied to the logits from step b) to legitimate logits calculated using genuine samples that have been applied to the backdoored model with the trigger. In step d), steps a) through c) are repeated using different triggers and backdoored models associated with different triggers, respectively. In step e), to determine whether the sample is an adversarial sample, the number of times each of the outputs of the backdoored model is not identical to the respective backdoor class of the backdoored model is compared to a predetermined threshold, and/or the difference determined by applying the outlier detection method is compared to a difference threshold.

本発明の実施形態が、例示の図を基に、以下でさらに詳細に説明される。本発明は例示的な実施形態に限定されない。本明細書で説明され、かつ/または示されたすべての特徴は、本発明の実施形態において、単独で、または種々の組合せに組み合わせて使用できる。本発明の様々な実施形態の特徴および利点は、添付の図面を参照して以下の詳細な説明を読めば明らかになるであろう。 Embodiments of the present invention are described in more detail below with reference to exemplary figures. The present invention is not limited to the exemplary embodiments. All features described and/or shown in this specification can be used alone or in various combinations in embodiments of the present invention. Features and advantages of various embodiments of the present invention will become apparent from the following detailed description taken in conjunction with the accompanying drawings.

本発明の一実施形態によるセットアップ段階を示す概略図である。FIG. 2 is a schematic diagram illustrating the setup stage according to one embodiment of the present invention. 本発明の一実施形態による評価段階を示す概略図である。FIG. 1 is a schematic diagram illustrating the evaluation stage according to one embodiment of the present invention. 本発明の一実施形態による、1つのバックドア化モデルを使用して改善された評価を示す概略図である。FIG. 1 is a schematic diagram illustrating improved evaluation using one backdoored model, according to one embodiment of the present invention. 本発明の一実施形態による、バックドア化モデルの作成を示す概略図である。FIG. 1 is a schematic diagram illustrating the creation of a backdoored model, according to one embodiment of the present invention.

本発明の実施形態は、AIおよび機械学習の用途において、攻撃および敵対的サンプルに対するセキュリティを改善するものである。たとえば、敵対的サンプルによる攻撃を可能にするニューラルネットワークの欠陥および脆弱性は、そのような敵対的サンプルを検出して拒絶するために、機械学習モデルにおけるバックドアを注意深く生成して利用する本発明の実施形態によって対処される。詳細には、本発明の実施形態は、バックドア化モデル上で評価されたときのサンプルの挙動を、正当なサンプルの挙動に付加されたトリガと比較することによって敵対的サンプルを検出する。 Embodiments of the present invention improve security against attacks and adversarial samples in AI and machine learning applications. For example, flaws and vulnerabilities in neural networks that allow attacks by adversarial samples are addressed by embodiments of the present invention that carefully create and utilize backdoors in machine learning models to detect and reject such adversarial samples. Specifically, embodiments of the present invention detect adversarial samples by comparing the behavior of the samples when evaluated on the backdoored model with triggers attached to the behavior of legitimate samples.

脅威モデル:
本発明の実施形態による脅威モデルは、敵対者が機械学習モデルMに対する十分な知見とアクセス権とを有するホワイトボックス攻撃のシナリオを考慮に入れる。敵対者は、無制限のクエリ-応答対によってモデルから自由に学習する。しかしながら、敵対者は、たとえばモデルを訓練するように使用されるデータを悪化させることによってモデルまたは訓練プロセスをごまかすことはできない。
Threat Model:
A threat model according to an embodiment of the present invention considers a white-box attack scenario in which an adversary has sufficient knowledge of and access to a machine learning model M. The adversary is free to learn from the model via unrestricted query-answer pairs. However, the adversary cannot cheat the model or the training process, for example, by corrupting the data used to train the model.

敵対者の目標は、y=M(S)と(正しく)分類されるサンプルSを所与として、y'(y≠y')と分類される敵対的サンプルS'を作成することである。SとS'との間の差は、人が目視では検出できないほど十分に小さくするべきであるので、敵対者が、元のサンプルSに施すことができる可能な修正は制限されている。これは、画素間距離の2乗平均を255のうち8に制限するrms(S'-S)<8などの距離の制限によってインスタンス化される。 Given a sample S (correctly) classified as y = M(S), the adversary's goal is to create an adversarial sample S' classified as y' (y ≠ y'). The difference between S and S' should be small enough that it is undetectable by human visual inspection, so the possible modifications the adversary can make to the original sample S are limited. This is instantiated by distance constraints such as rms(S'-S)<8, which limits the root mean square of the inter-pixel distance to 8 out of 255.

本発明の実施形態による解決策の目標は、サンプルSを所与として、Sが正当な(真正な)サンプルである場合y←M(S)を出力し、敵対的サンプルであると判定されたサンプルSは拒絶することである。 The goal of the solution according to an embodiment of the present invention is to, given a sample S, output y ← M(S) if S is a legitimate (genuine) sample, and reject sample S that is determined to be an adversarial sample.

攻撃のインスタンス化:
基本的に、攻撃は、モデルの予測を変化させるように導入される微細な混乱を推定することによって機械学習モデルを欺こうとするものである。ホワイトボックス攻撃は、分類器の応答に基づいて選択された有効な入力サンプルを選出し、各ステップにおいてモデルに小さな混乱を繰り返し照会することによってこれを達成する。したがって、攻撃者は、混乱が分類器にどのような影響を及ぼすかを予測し、適応して対応する。各ステップにおいて追加される混乱は、攻撃タイプに依拠して異なる。敵対者の最終的な目標は、本来のターゲットysを有する真正なサンプルsを、ターゲットクラスya≠ysに分類される敵対的サンプルsa(rms(s-sa)<Max_Perturbation)に変換することである。
Attack Instantiation:
Essentially, attacks attempt to fool machine learning models by estimating subtle perturbations introduced to change the model's predictions. White-box attacks achieve this by selecting valid input samples chosen based on the classifier's response and repeatedly querying the model with small perturbations at each step. Thus, the attacker predicts how the perturbations will affect the classifier and adapts accordingly. The perturbations added at each step vary depending on the attack type. The adversary's ultimate goal is to transform a genuine sample s with an original target y s into an adversarial sample s a (rms(ss a )<Max_Perturbation) that is classified into the target class y a ≠ y s .

多くの既存の防御提案は、アドホック攻撃には効果を発揮するが、適応型敵対者、すなわち防御に関する知見に基づいて攻撃を適応させる敵対者を阻止することはできない。上記で論じられたように、この分野は現在大いに調査されており、考慮に入れるべき多くの既存の攻撃があるばかりでなく、防御方策を構築するときには、克服するべき多くの技術的な課題がある。既存の文献において論じられた攻撃の各々に関して、これらの攻撃の変更された適応型バージョンも存在して、深刻なセキュリティ脅威をもたらす。 While many existing defensive proposals are effective against ad hoc attacks, they are unable to thwart adaptive adversaries, i.e., adversaries that adapt their attacks based on knowledge of the defenses. As discussed above, this area is currently under heavy research, and not only are there many existing attacks that must be taken into account, but there are also many technical challenges to overcome when constructing defensive strategies. For each of the attacks discussed in the existing literature, modified, adaptive versions of these attacks also exist, posing a serious security threat.

既存の防御方策の1つには、入力サンプルに、ランダム性を追加してフィルタを適用するなどの変換を実行することによって、可能性のある敵対的サンプルを駆除することを目指すものがある。この手法には、モデルの精度が低下することと、変換の知見を有する適応型攻撃者には防御がバイパスされてしまうこととの、2つの短所がある。別の既存の防御方策には、訓練セットに敵対的サンプルを含めることにより、攻撃に対する回復力を持たせるようにモデルを「強化する」ことに依拠するものがある。このタイプの防御も、アドホック攻撃には比較的うまく効果を発揮するが、なお60%の精度に達することができる、ターゲットを絞った攻撃にはあまり有効ではない。その上、これら既存の防御方策の各々の学習プロセスは非常に遅く、したがってセットアップするのがかなり困難である。これら既存の防御方策は、現在知られているものとは異なる攻撃方法を使用する攻撃に対して回復力があるかどうかということも不明瞭である。 One existing defense strategy aims to eliminate potentially adversarial samples by performing transformations on input samples, such as adding randomness and applying filters. This approach has two drawbacks: it reduces the accuracy of the model, and adaptive attackers with knowledge of the transformations can bypass the defense. Another existing defense strategy relies on "hardening" the model to make it resilient to attacks by including adversarial samples in the training set. This type of defense also works relatively well against ad hoc attacks, but is less effective against targeted attacks, which can still reach 60% accuracy. Furthermore, the learning process for each of these existing defense strategies is very slow, and therefore quite difficult to set up. It is also unclear whether these existing defense strategies are resilient to attacks that use attack methods different from those currently known.

モデルの悪化:
機械学習モデルの別の一般的な攻撃にはモデルの悪化と称されるものがある。このタイプの攻撃は、訓練段階の前にモデルの訓練セットを悪化させることに頼る。悪化させるステップは、サンプルSを選択してトリガtを付加し、それらのターゲットクラスをytに変化させるように起こる。新たに作成されたサンプルにより、モデルは、特定のトリガtを認識し、トリガtを伴う画像をターゲットクラスytへと常に分類するように確実に訓練される。トリガは、黄色い四角などの簡単な視覚的パターンから、画像に追加される微細で判別不能な任意のパターンまで、任意のパターンが可能である。画像認識用途では、トリガは任意の画素パターンが可能である。しかしながら、トリガは、たとえば発話または単語認識といった他の分類問題についても定義できる(これらの実例では、トリガは、それぞれ特定の音響または単語/文でよい)。モデルの悪化による、モデルの精度に対する影響は最小限である。「バックドア」および「悪化」という用語は、本明細書では、互換性があるように使用される。
Model deterioration:
Another common attack on machine learning models is called model deterioration. This type of attack relies on worsening the model's training set before the training phase. The worsening step occurs by selecting samples S and adding a trigger t, changing their target class to yt . The newly created samples ensure that the model is trained to recognize the specific trigger t and always classify images with trigger t into the target class yt . The trigger can be any pattern, from a simple visual pattern such as a yellow square to any subtle, indistinguishable pattern added to an image. In image recognition applications, the trigger can be any pixel pattern. However, triggers can also be defined for other classification problems, such as speech or word recognition (in these instances, the trigger can be a specific sound or word/sentence, respectively). Model deterioration has minimal impact on the model's accuracy. The terms "backdoor" and "deterioration" are used interchangeably herein.

敵対者が、訓練データへのアクセスを可能にする厳密なやり方は、機械学習分類器が配備される用途に依拠する。信頼できないソースから訓練データが収集される場合には、すべてのシナリオにおいてモデルが悪化される可能性がある。たとえば、GOOGLEの連合学習構造では、自発的ユーザによって提供されたデータを使用して共有モデルを訓練することが可能である。したがって、攻撃者を含む誰もが、訓練プロセスに参加することができる。前述のように、攻撃者は、サンプルに追加したトリガがサンプルの分類を変化させるやり方を調べるためにモデルまたはサロゲートモデルで実験することができ、それによってターゲットクラスを変化させる。 The exact manner in which an adversary gains access to training data depends on the application in which the machine learning classifier is deployed. Collecting training data from untrusted sources can potentially degrade the model in all scenarios. For example, Google's federated learning architecture allows for training shared models using data provided by voluntary users. Therefore, anyone, including an attacker, can participate in the training process. As mentioned above, an attacker can experiment with the model or surrogate models to see how triggers added to samples change the sample's classification, thereby changing the target class.

既存の(訓練された)モデルを悪化させるために、本発明の実施形態による、データを悪化させる手法が使用され、必要とするのは、悪化させたサンプルを使用する数回の追加の訓練のみである。モデルを悪化させるために、最初に、モデルによって認識されるパターンであるトリガが生成される。次いで、訓練セットのある特定の画像にトリガが付加され、画像のターゲットクラスが、(たとえば画像のラベルを変更することによって)バックドアターゲットクラスに変更される。これに続いて、バックドアの精度が十分な値(たとえば90%の精度)に達するまで、真正な訓練データと悪化させた訓練データとの両方を含有する訓練が数回実行される。真正なデータは、有利には、バックドア化されたサンプルを用いて訓練された後のモデルが、依然として、バックドアを含有していないサンプルを正しく分類できることを確認するために、このステップにおいて使用ができる。このステップは、モデルの通常の訓練段階中に必要とされるような膨大な量のデータを必要とせず、精度に関して無視できるコストで、モデルに混乱を迅速に挿入することを可能にする。 According to an embodiment of the present invention, a data degradation technique is used to degrade an existing (trained) model, requiring only a few additional training rounds using degraded samples. To degrade a model, a trigger, a pattern recognized by the model, is first generated. The trigger is then added to certain images in the training set, and the image's target class is changed to a backdoor target class (e.g., by changing the image's label). This is followed by several training rounds containing both genuine and degraded training data until the backdoor accuracy reaches a sufficient value (e.g., 90% accuracy). Genuine data can advantageously be used in this step to verify that the model, after being trained with backdoored samples, can still correctly classify samples that do not contain a backdoor. This step does not require the vast amount of data required during the model's normal training phase, and allows for the rapid insertion of perturbations into the model at a negligible cost in terms of accuracy.

バックドア誤分類による防御:
現況技術に基づき、システムの十分な知見を持った敵対者からの敵対的サンプルに対して防御することは不可能であると推定される。機械学習モデルおよびその重みを完全に秘密に保つことも不可能であろう。したがって、本発明の実施形態は、パラダイムを変化させて、攻撃者の知見と防御者の知見との間にいくらかの非対称性をもたらすことを目的とするものである。この目的のために、本発明の実施形態は、可能性のある敵対的サンプルを検出するためにモデルを自ら悪化させることに基づく防御を提供するものである。詳細には、トリガtを付加されてバックドア化モデルMt上で評価された真正なサンプルは、バックドアターゲットクラスytに分類されると予期されるが、敵対的サンプルについては、バックドア化されたクラスではなく、依然としてターゲットの攻撃クラスyaに分類されることもある。
Backdoor Misclassification Defense:
Based on the current state of the art, it is presumed that it is impossible to defend against adversarial samples from an adversary with sufficient knowledge of the system. It would also be impossible to keep the machine learning model and its weights completely secret. Therefore, embodiments of the present invention aim to change the paradigm and introduce some asymmetry between the attacker's knowledge and the defender's knowledge. To this end, embodiments of the present invention provide a defense based on self-deteriorating the model to detect potential adversarial samples. In particular, a genuine sample evaluated on a backdoored model M t with a trigger t is expected to be classified into the backdoored target class y t , while an adversarial sample may still be classified into the target attack class y a instead of the backdoored class.

敵対的サンプルに導入された混乱は、モデルの固有のバックドアのような、挙動における弱いトリガと見なすことが可能である。したがって、生成されたバックドア化モデルが、元のモデルに十分に近く、十分に弱いトリガを有する場合には、敵対的サンプルは、バックドア化モデル上のトリガを用いて評価されても依然として誤って分類される可能性がある。モデルにバックドアを追加することは比較的迅速であるため、敵対者は、バックドア化されていない本来のモデルMの十分な知見を有するが、バックドア化モデルやそれらのトリガについては何も知らないので、防御者にのみ既知の有利な機密情報である更新された脅威モデルを有利に使用することができる。 The perturbations introduced into the adversarial samples can be viewed as weak triggers on the model's behavior, like inherent backdoors. Thus, if the generated backdoored model is close enough to the original model and has weak enough triggers, the adversarial samples may still be misclassified when evaluated using the triggers on the backdoored model. Because adding a backdoor to a model is relatively quick, the adversary has sufficient knowledge of the original, unbackdoored model M, but nothing about the backdoored model or its triggers, and can therefore take advantage of the updated threat model, which is secret information known only to the defender.

この防御は、図1に示されるように、N個のモデルのそれぞれのトリガtNに基づき、敵対者には未知の、バックドア化されたバージョンのN個のモデルM'1..Nを迅速に生成することに頼るものである。その後、図2に表されるように、それぞれの分類要求rが、σ=0を使用する簡単なやり方で、以下の流れで処理される。
1. y0←M(s)
2. diff←0
3. For i in 1..N:
a. yi←M'i(s+ti)
b. If yi≠y0 then diff++
4. If diff>σ*N then REJECT
5. else return y0
ここで、diffはカウンタであって、diff++はカウンタに1を加え、また、この実施形態では、任意数N個のバックドア化されたバージョンのモデルM'1..Nにアルゴリズムを適用することができるように、閾値σは[0,1]の間の割合または値である。
This defense relies on rapidly generating backdoored versions of N models M' 1..N , unknown to the adversary, based on the triggers t N of each of the N models, as shown in Figure 1. Then, as depicted in Figure 2, each classification request r is processed in a simple manner with σ=0, as follows:
1. y 0 ←M(s)
2. diff←0
3. For i in 1..N:
a. y i ←M' i (s+t i )
b. If y i ≠ y 0 then diff++
4. If diff>σ*N then REJECT
5. else return y 0
where diff is a counter, diff++ increments the counter by 1, and in this embodiment the threshold σ is a fraction or value between [0, 1] so that the algorithm can be applied to any number N of backdoored versions of the model M′ 1..N .

一実施形態では、本発明は、敵対的サンプルに対して、真正な機械学習モデルを安全にするための方法を提供するものである。この方法は、分類されるサンプルにトリガを付加するステップa)と、トリガを使用してバックドア化されたバックドア化モデルを使用して、トリガを付加されたサンプルを分類するステップb)とを含む。ステップc)において、ステップb)におけるバックドア化モデルの出力がバックドア化モデルのバックドアクラスと同一であるかどうかが判定され、かつ/または、ステップb)からのロジットに対して、トリガを付加してバックドア化モデルに適用された真正なサンプルを使用して計算された正当なロジットと比較する外れ値検出方法が適用される。ステップd)によって、これらのステップa)~c)が、種々のトリガに関連付けられた種々のトリガおよびバックドア化モデルをそれぞれ使用して繰り返される。ステップe)において、サンプルが敵対的サンプルかどうかを判定するために、バックドア化モデルの出力のそれぞれが、バックドア化モデルのそれぞれのバックドアクラスと同じでなかった回数が所定の閾値と比較され、かつ/または外れ値検出方法を適用することによって判定された差が差閾値と比較される。 In one embodiment, the present invention provides a method for securing a genuine machine learning model against adversarial samples. The method includes step a) of adding a trigger to a sample to be classified; and step b) of classifying the triggered sample using a backdoored model backdoored using the trigger. In step c), it is determined whether the output of the backdoored model in step b) is identical to a backdoor class of the backdoored model, and/or an outlier detection method is applied to the logits from step b) to legitimate logits calculated using genuine samples that have been applied to the backdoored model with the trigger. In step d), steps a) through c) are repeated using different triggers and backdoored models associated with different triggers, respectively. In step e), to determine whether the sample is an adversarial sample, the number of times each of the outputs of the backdoored model is not identical to the respective backdoor class of the backdoored model is compared to a predetermined threshold, and/or the difference determined by applying the outlier detection method is compared to a difference threshold.

一実施形態では、この方法は、バックドア化モデルの出力のそれぞれが、バックドア化モデルのバックドアクラスのそれぞれと同じでなかった回数が閾値以下である場合、サンプルに関する分類要求の結果として、トリガを付加されていないサンプルを、真正な機械学習モデルを使用して分類するステップと、バックドア化モデルの出力のそれぞれが、バックドア化モデルのバックドアクラスのそれぞれと同じでなかった回数が閾値よりも多い場合、このサンプルを敵対的サンプルとして拒絶するステップとをさらに含む。 In one embodiment, the method further includes: classifying the untriggered sample using the genuine machine learning model as a result of a classification request for the sample if the number of times each of the outputs of the backdoored model is different from each of the backdoor classes of the backdoored model is less than or equal to a threshold; and rejecting the sample as an adversarial sample if the number of times each of the outputs of the backdoored model is different from each of the backdoor classes of the backdoored model is greater than a threshold.

一実施形態では、この方法は、バックドア化モデルの出力のそれぞれが、バックドア化モデルのバックドアクラスのそれぞれと同じでなかった回数が閾値よりも多い場合、サンプルに、不正に変更されたものとしてフラグを立てるステップをさらに含む。一実施形態では、閾値はゼロである。 In one embodiment, the method further includes flagging the sample as tampered with if each of the outputs of the backdoored model is not the same as each of the backdoored classes of the backdoored model more than a threshold number of times. In one embodiment, the threshold is zero.

一実施形態では、バックドア化モデルの各々が、それぞれのトリガを、真正な機械学習モデルによって認識可能なパターンとして生成するステップと、複数の訓練サンプルに対してそれぞれのトリガを追加するステップと、それぞれのトリガを追加された訓練サンプルのターゲットクラスを、バックドアクラスのそれぞれに変更するステップと、それぞれのトリガを追加された訓練サンプルを使用して、真正な機械学習モデルの別のバージョンを訓練するステップとによって生成される。 In one embodiment, each backdoored model is generated by the steps of: generating a respective trigger as a pattern recognizable by the genuine machine learning model; adding the respective trigger to a plurality of training samples; changing the target class of the training samples to which the respective trigger has been added to the respective backdoor class; and training another version of the genuine machine learning model using the training samples to which the respective trigger has been added.

一実施形態では、訓練は、それぞれのバックドア化モデルが90%以上の精度を得るまで実行される。 In one embodiment, training is performed until each backdoored model achieves an accuracy of 90% or greater.

一実施形態では、真正な機械学習モデルおよび真正な機械学習モデルのバージョンがそれぞれ訓練され、それぞれのトリガを追加された訓練サンプルを使用して真正な機械学習モデルのバージョンを訓練するステップは、真正な機械学習モデルからそれぞれのバックドア化モデルを作成するための追加の訓練である。 In one embodiment, a genuine machine learning model and a version of the genuine machine learning model are each trained, and the step of training the version of the genuine machine learning model using the respective trigger-added training samples is an additional training step to create the respective backdoored models from the genuine machine learning model.

一実施形態では、追加の訓練は、それぞれのトリガを追加されたサンプルとともに真正なサンプルを用いて訓練するステップを含む。 In one embodiment, the additional training includes training each trigger with authentic samples along with the additional samples.

一実施形態では、分類するステップb)は、バックドア化モデルを使用して、トリガを付加されたサンプルの分類におけるロジットを抽出するステップを含み、バックドア化モデルの出力クラスが、サンプルが敵対的サンプルかどうかを判定するために使用されることはなく、ステップe)において、ステップb)からのロジットが正当なロジットのセットと比較され、正当なロジットは、それぞれのトリガを付加されてから複数の真正なサンプルを使用して計算され、バックドア化モデルの各々に適用されたものである。 In one embodiment, the classifying step b) includes using a backdoored model to extract logits for the classification of the triggered samples, and the output class of the backdoored model is not used to determine whether the sample is an adversarial sample; and in step e), the logits from step b) are compared to a set of legitimate logits, computed using a plurality of genuine samples after each trigger has been added and applied to each of the backdoored models.

一実施形態では、この方法は、ロジットの各々についての外れ値検出方法の結果が差閾値以下である場合、サンプルに関する分類要求の結果として、真正な機械学習モデルを使用して、トリガを付加されていなサンプルを分類するステップと、ロジットの各々についての外れ値検出方法の結果が差閾値よりも大きい場合、サンプルを敵対的サンプルとして拒絶するステップとをさらに含む。一実施形態では、外れ値検出方法は、Local Outlier Factorアルゴリズムを使用する。 In one embodiment, the method further includes classifying the untriggered sample using a genuine machine learning model as a result of a classification request for the sample if the result of the outlier detection method for each of the logits is less than or equal to a difference threshold, and rejecting the sample as an adversarial sample if the result of the outlier detection method for each of the logits is greater than the difference threshold. In one embodiment, the outlier detection method uses a Local Outlier Factor algorithm.

一実施形態では、真正な機械学習モデルは、ニューラルネットワークに基づいて画像分類用に訓練される。 In one embodiment, a true machine learning model is trained for image classification based on a neural network.

別の実施形態では、本発明が提供する、真正な機械学習モデルを敵対的サンプルに対して安全にするためのシステムは、a)分類されるサンプルにトリガを付加するステップと、b)トリガを使用してバックドア化されたバックドア化モデルを使用して、トリガを付加されたサンプルを分類するステップと、c)ステップb)におけるバックドア化モデルの出力がバックドア化モデルのバックドアクラスと同一であるかどうかを判定し、かつ/または、ステップb)からのロジットと、トリガを付加した真正なサンプルを使用して計算され、バックドア化モデルに適用された正当なロジットとを比較する外れ値検出方法を適用するステップと、d)別々のトリガを使用してステップa)~c)を繰り返すステップと、e)サンプルが敵対的サンプルかどうかを判定するために、バックドア化モデルの出力のそれぞれが、バックドア化モデルのそれぞれのバックドアクラスと同じでなかった回数を所定の閾値と比較し、かつ/または外れ値検出方法を適用することによって判定された差を差閾値と比較するステップとの実行を促進するために、単独で、または組合せにおいて構成される1つまたは複数のハードウェアプロセッサを備える。 In another embodiment, the present invention provides a system for securing a genuine machine learning model against adversarial samples, comprising one or more hardware processors configured, alone or in combination, to facilitate the execution of the following steps: a) attaching a trigger to a sample to be classified; b) classifying the triggered sample using a backdoored model backdoored using the trigger; c) determining whether the output of the backdoored model in step b) is identical to a backdoor class of the backdoored model and/or applying an outlier detection method that compares the logits from step b) with legitimate logits calculated using the genuine sample with the trigger and applied to the backdoored model; d) repeating steps a) through c) using different triggers; and e) comparing the number of times each of the outputs of the backdoored model was not identical to the respective backdoor class of the backdoored model with a predetermined threshold and/or comparing the difference determined by applying the outlier detection method with a difference threshold to determine whether the sample is an adversarial sample.

一実施形態では、システムは、バックドア化モデルの出力のそれぞれが、バックドア化モデルのバックドアクラスのそれぞれと同じでなかった回数が閾値以下である場合、サンプルに関する分類要求の結果として、トリガを付加されていないサンプルを、真正な機械学習モデルを使用して分類し、バックドア化モデルの出力のそれぞれが、バックドア化モデルのバックドアクラスのそれぞれと同じでなかった回数が閾値よりも多い場合、このサンプルを敵対的サンプルとして拒絶するようにさらに構成される。 In one embodiment, the system is further configured to classify an untriggered sample using the genuine machine learning model as a result of a classification request for the sample if the number of times each of the outputs of the backdoored model is different from each of the backdoor classes in the backdoored model is less than or equal to a threshold, and to reject the sample as an adversarial sample if the number of times each of the outputs of the backdoored model is different from each of the backdoor classes in the backdoored model is greater than a threshold.

さらなる実施形態では、本発明は、命令を有する有体の非一時的コンピュータ可読媒体を提供するものであり、命令は、1つまたは複数のプロセッサによって実行されると、本発明の一実施形態による任意の方法のステップの実行を促進することにより、真正な機械学習モデルを安全にする。 In a further embodiment, the present invention provides a tangible, non-transitory computer-readable medium having instructions that, when executed by one or more processors, facilitate performance of any method steps according to an embodiment of the present invention to secure a genuine machine learning model.

図1は、本発明の一実施形態によるセットアップ段階10を概略図に示す。セットアップ段階10は、既存の(訓練された)機械学習モデル12から始まる。別々のトリガt1、t2、t3およびt4を付加された各サンプルを用いて、それぞれの場合において既存の機械学習モデル12を追加訓練することにより、既存の機械学習モデル12から複数のN個のバックドア化モデル15が生成される。トリガは、既存の機械学習モデル12によって認識可能なサンプルに追加された何らかの画素パターンであるが、多くは微細であって、人の観測者には、変更されていないサンプルと見分けがつかない。好ましくは、それぞれのバックドア化モデルM'1、M'2、M'3およびM'4は、互いに異なるそれぞれのトリガt1、t2、t3およびt4ならびにトリガt1、t2、t3およびt4に関連付けられる。また、好ましくは、様々なバックドア化モデル15を訓練するために使用されるデータサンプルは、バックドア化されるそれぞれの所与のモデルに関連のそれぞれのトリガを付加し、それに応じてターゲットバックドアクラスに対するラベルを変更することにより、同一の訓練セットから作成される。したがって、本発明の一実施形態によれば、これらの訓練サンプルは、同一のデータセットから生成できるが、バックドア化モデルにわたって異なる。 FIG. 1 shows a schematic diagram of a setup stage 10 according to one embodiment of the present invention. The setup stage 10 begins with an existing (trained) machine learning model 12. A plurality of N backdoored models 15 are generated from the existing machine learning model 12 by additionally training the existing machine learning model 12 in each case using samples each tagged with a different trigger t1, t2, t3, and t4. A trigger is some pixel pattern added to a sample that is recognizable by the existing machine learning model 12, but is often subtle enough that a human observer would not be able to distinguish it from an unaltered sample. Preferably, each backdoored model M′ 1 , M′ 2 , M′ 3 , and M 4 is associated with a different trigger t1, t2 , t3 , and t4 , respectively. Also, preferably, the data samples used to train the various backdoored models 15 are created from the same training set by adding each trigger associated with each given model being backdoored and changing the label for the target backdoor class accordingly. Thus, according to one embodiment of the present invention, these training samples can be generated from the same data set, but differ across the backdoored models.

図2は、本発明の一実施形態による評価段階20を概略的に示す。既存の真正な機械学習モデル12に対して、(たとえば分類要求に応答して画像を分類するために、)またはそのようなモデルを訓練するための入力として、サンプル22が提供され、真正なサンプルかそれとも敵対的サンプルであるかが評価される。それぞれのバックドア化モデルM'1、M'2、M'3およびM'4を訓練するために使用されたトリガt1、t2、t3およびt4がサンプル22に追加され、それぞれの場合において、それぞれのバックドア化モデル15に対する入力として適用され(サンプルsに追加されたトリガt1が、トリガt1を使用してバックドア化モデルM'1に対する入力として適用される、など)、出力y1、y2、y3、y4としてそれぞれのクラスをもたらす。バックドア化モデル15のうち1つからの出力yiのうち1つが、モデル15のそれぞれのターゲットバックドアクラス
とは異なる回数が、合計dとして判定される。ターゲットバックドアクラス
は、それぞれの場合において、それぞれのトリガtiに関連した分類結果によって判定される(たとえば、バックドアクラス
はトリガt1に関連付けられたクラスに対応する、など)。この合計dは、任意数のバックドア化モデル15を使用するように正規化することが可能であり、所定の閾値σと比較される。この例ではσはゼロであり、したがって、バックドア化モデル15のすべてが、それぞれのバックドアクラス
と等しいそれぞれの出力yiをもたらすと、サンプルは真正であると判定され、そうでない場合、サンプル22は、不正に変更された敵対的サンプルと判定されて拒絶され、好ましくは不正に変更されたものとしてフラグを立てられる。サンプル22は、真正なサンプルであると判定されると、トリガを付加されることなく、真正な機械学習モデルに対する入力として、または同モデルを訓練するために適用でき、分類要求の結果として出力を返すことができる。
2 illustrates a schematic of the evaluation stage 20 according to one embodiment of the present invention. Samples 22 are provided to existing genuine machine learning models 12 (e.g., to classify an image in response to a classification request) or as inputs for training such models, and evaluated as genuine or adversarial. Triggers t1 , t2 , t3 , and t4 used to train respective backdoored models M'1 , M'2 , M'3 , and M'4 are added to the samples 22 and, in each case, applied as inputs to respective backdoored models 15 (trigger t1 added to sample s is applied as input to backdoored model M'1 using trigger t1 , etc.), resulting in respective classes as outputs y1 , y2 , y3 , y4 . One of the outputs yi from one of the backdoored models 15 corresponds to the respective target backdoor class of the model 15.
The total number of times that differs from d is determined as the target backdoor class.
is determined in each case by the classification result associated with each trigger t i (e.g., backdoor class
corresponds to the class associated with trigger t1 , etc. This sum d can be normalized to use any number of backdooring models 15 and is compared to a predetermined threshold σ. In this example, σ is zero, so all of the backdooring models 15 correspond to the respective backdoor classes.
If the sample 22 yields a respective output yi equal to yi , then the sample is determined to be authentic, otherwise the sample 22 is determined to be a tampered adversarial sample and is rejected, preferably flagged as tampered. Once the sample 22 is determined to be authentic, it can be applied as an input to or to train an authentic machine learning model without the need for a trigger, and can return an output as the result of a classification request.

図3は、本発明の別の実施形態による評価段階30を概略的に示す。最初に、たとえばセットアップ段階中に、真正なサンプル32にトリガが追加され、それぞれの場合においてそれぞれのトリガに関連付けられたバックドア化モデル15を使用して分類される。図3は、真正なサンプルsgにトリガt1が追加され、トリガt1に関連付けられた、バックドア化モデルM'1を使用して分類されるステップの一例を示す。検出精度を改善するために、前述の実施形態と同様に、複数のトリガおよびそれぞれのトリガに関連付けられた複数のモデルが使用される。しかしながら、ここで、使用される、バックドア化モデル15を使用した分類の結果は、バックドア化モデル15の最後から2番目の層であるロジットlである。最後の層はsoftmax層と称され、廃棄されるかまたは評価から除外される。本発明の一実施形態によって、softmax層はサンプルが敵対的サンプルかどうかを判定するのに有効ないくつかの情報を廃棄することと、ロジットlを使用することによって敵対的サンプルを識別する精度がさらに改善できることとが発見された。ロジット
は、それぞれの場合において、それぞれのトリガを追加したそれぞれの真正なサンプル32をそれぞれのバックドア化モデル15に適用して生成されたロジットのセットを指定し、真正なサンプル32の真正な挙動を表す。トリガを追加されたサンプル22は、真正なサンプルかそれとも敵対的サンプルか判定され、バックドア化モデル15に対する入力として適用されてロジットlsをもたらす。もたらされるロジットlsは関数is diff(たとえば、類似度もしくはL-distanceなどの距離測度、または好ましくはLocal Outlier Factor(LOF)アルゴリズム)によって、真正なロジットのセット
と比較され、結果が所定の差閾値σよりも大きいかどうか判定される。関数is diffの結果が所定の差閾値σよりも大きい場合、サンプル22は敵対的サンプルと判定して拒絶され、好ましくは、不正に変更されたものとしてフラグを立てられる。そうでない場合、関数is diffの結果が所定の差閾値σ以下であると、サンプル22は真正なサンプルであると判定され、トリガなしで、真正な機械学習モデルに対する入力として、または同モデルを訓練するために適用され、分類要求の結果として出力を返すことができる。
FIG. 3 illustrates a schematic diagram of an evaluation stage 30 according to another embodiment of the present invention. First, triggers are added to genuine samples 32, e.g., during a setup phase, and in each case, they are classified using the backdooring model 15 associated with each trigger. FIG. 3 illustrates an example of a step in which a trigger t1 is added to a genuine sample sg and classified using the backdooring model M'1 associated with trigger t1 . Similar to the previous embodiment, multiple triggers and multiple models associated with each trigger are used to improve detection accuracy. However, here, the result of classification using the backdooring model 15 used is the penultimate layer of the backdooring model 15, logit l. The last layer is referred to as the softmax layer and is discarded or excluded from evaluation. According to one embodiment of the present invention, it has been discovered that the softmax layer discards some information that is useful in determining whether a sample is an adversarial sample, and that the accuracy of identifying adversarial samples can be further improved by using logit l.
In each case, σ designates the set of logits generated by applying each genuine sample 32 with the respective trigger added to the respective backdoored model 15, and represents the genuine behavior of the genuine sample 32. The trigger added sample 22 is determined to be either a genuine sample or an adversarial sample and applied as an input to the backdoored model 15 to yield logits ls . The resulting logits ls are then compared to the set of genuine logits by a function is diff (e.g., a similarity or distance measure such as L-distance, or preferably a Local Outlier Factor (LOF) algorithm).
is compared to determine whether the result is greater than a predetermined difference threshold σ. If the result of the is diff function is greater than the predetermined difference threshold σ, the sample 22 is determined to be an adversarial sample and is rejected, preferably flagged as tampered with. Otherwise, if the result of the is diff function is less than or equal to the predetermined difference threshold σ, the sample 22 is determined to be a genuine sample and can be applied, without triggering, as an input to or to train a genuine machine learning model and return an output as the result of a classification request.

LOFは既存の異常検出方法であり、ポイントの、その近傍に対する近さを、近傍に特有の近さと比較して検査することにより、データセットにおける外れ値を識別する。Local Outlier FactorであるLOFk(x;N)は、整数パラメータk、ポイントxおよびいくつかの近傍のポイント{x1、...、xn}を所与として、xとそのk個の最も近い近傍の近さに基づき、逸脱度または「外れ度」を与えるものである。たとえば、LOFk(x;N)>1は、xが他のポイントよりもクラスタ化され難く、可能性として外れ値であることを指示する。 LOF is an existing anomaly detection method that identifies outliers in a dataset by examining the proximity of a point to its neighbors compared to the proximity specific to the neighbors. LOFk(x;N), Local Outlier Factor, gives the deviation or "outlier" of x, given an integer parameter k, a point x, and some nearby points {x1, ..., xn}, based on the proximity of x to its k nearest neighbors. For example, LOFk(x;N)>1 indicates that x is less clustered than other points and is likely an outlier.

一実施形態によれば、所定の差閾値σは、複数の真正なサンプルを使用する(すなわち
をロジット
に入力する)出力に基づくものであり、lsを有する別々のロジット
の間の距離が、(たとえば、いくらかの許容差を加えた)ロジット間の平均距離よりも大きい場合、サンプルは敵対的であると報告される。
According to one embodiment, the predetermined difference threshold σ is determined using multiple true samples (i.e.
Logit
(input to ) output, and separate logits with l s
If the distance between is greater than the average distance between logits (e.g., plus some tolerance), the sample is reported as adversarial.

図4は、セットアップ段階10における図1のバックドア化モデル15のうち1つを生成するための方法40を概略的に示す。最初に、画像24を含有しているサンプル22が、トリガ25を含むように変更される。次いで、変更されたサンプル22は、既存の機械学習モデル12をさらに訓練するために使用される。このプロセスは、同一のトリガを含むように変更された別々のサンプルを用いて、精度が、条件を満たす値に達する(たとえば、同一のトリガを有するサンプルの約90%が同様に誤って分類される)まで繰り返される。理想的には、バックドア化モデルは、所与のトリガを含有しているすべてのサンプルを、そのトリガに関連付けられたターゲットクラスに属するものと予測するべきである。好ましくは、新たに作成されるサンプルの数は約100以上である。たった約10のバックドア化モデルを用いて好結果を達成できることが既に分かっている。 Figure 4 shows a schematic diagram of a method 40 for generating one of the backdoored models 15 of Figure 1 during the setup phase 10. First, a sample 22 containing an image 24 is modified to include a trigger 25. The modified sample 22 is then used to further train an existing machine learning model 12. This process is repeated using different samples modified to include the same trigger until an acceptable accuracy is achieved (e.g., approximately 90% of samples with the same trigger are similarly misclassified). Ideally, the backdoored model should predict all samples containing a given trigger as belonging to the target class associated with that trigger. Preferably, the number of newly created samples is approximately 100 or more. It has been shown that good results can be achieved using as few as approximately 10 backdoored models.

複数のバックドア化モデルを使用すると、システムの検出精度を全体として改善する。なおまた、本発明の実施形態によるこの解決策は、強い敵対的サンプルを検出するのに有効であり、敵対頑健性の場合にも適切な転移性を確保することが判明した。この解決策は、「微細な」敵対的サンプルに対する精度はそれほど高くないが、本発明の実施形態によって、多層の防御システムの最初の層として特に有利に適用できる。 The use of multiple backdooring models improves the overall detection accuracy of the system. Furthermore, this solution according to embodiments of the present invention has been found to be effective in detecting strong adversarial samples and ensures good transferability even in the case of adversarial robustness. While this solution is less accurate for "trivial" adversarial samples, it can be particularly advantageously applied according to embodiments of the present invention as the first layer of a multi-layered defense system.

本発明の実施形態による、バックドア化モデルを使用するこの解決策が、上記で言及された既存の文献において論じられている攻撃に関して評価された。この評価は、本発明の実施形態によって与えられた敵対的サンプルに対して機械学習モデルのセキュリティにおける改善を実験的に実証した。「最強の」攻撃に対して、0%までのフォールスネガティブ率が達成され、フォールスポジティブ率は約6%であった。閾値σを増加させると、フォールスポジティブ率は減少するが、フォールスネガティブ率が増加する。 This solution using a backdoored model, according to an embodiment of the present invention, was evaluated against the attacks discussed in the existing literature referenced above. The evaluation experimentally demonstrated the improvement in the security of machine learning models against adversarial samples provided by an embodiment of the present invention. Against the "strongest" attack, a false negative rate of up to 0% was achieved, with a false positive rate of approximately 6%. Increasing the threshold σ reduced the false positive rate but increased the false negative rate.

出願人による別の手法には、比較することによって敵対的サンプルを検出するために、悪化されたモデルを使用する、転移性の防止を目指すものがある。詳細には、この別の手法は、悪化されたモデルは真正な相当モデルとは大いに異なることが可能であり、その間の差のために、「弱い」敵対的サンプルが誤って分類されることはないはずであるという事実に依存する。対照的に、本発明の実施形態は、トリガを付加して悪化されたモデル上で分類されたときの、真正なサンプルと敵対的サンプルとの間の挙動差に依存する。手法におけるこの相違は、結果に大きな相違をもたらす。以前の手法は微細な攻撃に対して特に優れているが、転移性に関して最適化された攻撃にはそれほど有効ではないであろう。他方では、転移性が向上すると、悪化されたモデル上で分類されたときの挙動差も増加するので、本発明の実施形態は、そのような攻撃を見つけるのに、より有効であると言える。これら別々の手法は、別々のタイプの攻撃に対するセキュリティを向上させて、機械学習コンピュータシステムおよびネットワークに、さらに優れた全体的なセキュリティを達成するために、相補的なやり方で使用されるであろう。 Another approach proposed by the applicant aims to prevent transferability by using an aggravated model to detect adversarial samples by comparison. Specifically, this approach relies on the fact that an aggravated model can be significantly different from its authentic counterpart, and that the differences between them should prevent "weak" adversarial samples from being misclassified. In contrast, embodiments of the present invention rely on the behavioral differences between authentic and adversarial samples when classified on an aggravated model with added triggers. This difference in approach leads to significant differences in results. While previous approaches are particularly effective against subtle attacks, they may be less effective against attacks optimized for transferability. On the other hand, as transferability improves, the behavioral differences when classified on an aggravated model also increase, making embodiments of the present invention more effective at detecting such attacks. These separate approaches may be used in a complementary manner to improve security against different types of attacks and achieve better overall security for machine learning computer systems and networks.

改善された防御:
以前に提案された防御を上回る、本発明の一実施形態によるさらなる改善は、図3に示されるようにシステムの分類出力を使用する代わりに、またはそれに加えて、最後のロジットlに依存するものである。この実施形態では、必須ではないが、有利には、バックドア化モデルがバックドアクラスを出力するかどうかを判定することが可能である。この改善ではモデルの最後の層は廃棄される。モデルの最後の層はsoftmax層と称され、ニューラルネットワークの出力を実数から確率分布
へとマッピングするために使用される。この層は、通常、分類に関するモデルの信頼度を理解するのに非常に有効ではあるが、敵対的サンプルを検出するために使用される可能性があるいくつかの情報を廃棄してしまう。本発明の実施形態は、ベクトルlに変更されたモデルの出力を当てる。そこで、防御は、モデルの真正な挙動を、(何千もの結果を含有できる可能性がある)ベクトル
に計算するために使用される、真正なサンプルsgのプールに依存する。新規のサンプルsを受け取ると、次いで、受け取られたサンプルが真正なものであることを判断するために、このサンプルの出力lsが、真正な挙動の出力
と比較される。
Improved protection:
A further improvement over previously proposed defenses, according to one embodiment of the present invention, is to rely on the last logit l instead of, or in addition to, using the classification output of the system as shown in Figure 3. In this embodiment, it is advantageously, but not necessarily, possible to determine whether the backdoored model outputs a backdoor class. In this improvement, the last layer of the model is discarded. The last layer of the model is called a softmax layer, and it converts the output of the neural network from real numbers to a probability distribution.
, which is used to map the model's true behavior to the vector l (which can potentially contain thousands of results).
It depends on a pool of genuine samples s g that are used to compute s g. When a new sample s is received, the output l s of this sample is then compared to the output of the genuine behavior to determine if the received sample is genuine.
is compared to.

関数is diff"は多数の方法において実施することが可能である。たとえば、L-distanceを使用することが可能である。より優れた結果をもたらす別の可能性には、Local Outlier Factor(LOF)などの外れ値検出システムを使用する、一般的には、入力のセットから、その最も近い近傍の密度に基づき、所与の入力が外れ値かどうかを判断するために使用される方法がある。LOFを使用して、精度における改善が実証された。微細な攻撃の精度は、95%のフォールスネガティブ率から、(Kurakin、Alexeyらの文献に記述されている攻撃に対する)40%~(Moosavi-Dezfooli、Seyed-Mohsenらの文献、およびGoodfellow、Ian Jらの文献に記述されている攻撃に対する)55%のフォールスネガティブ率へと改善された。強い攻撃の精度は、(Carlini、Nicholasらの文献およびMadry、Aleksanderらの文献に記述されている攻撃に対して)0%のフォールスネガティブ率と変わらず、一方、最適化された攻撃のフォールスネガティブ率も80%から約25%へと大いに減少した。さらなる最適化を使用すれば、セキュリティのさらなる改善を保証するために精度をさらに改善することも可能であった。微細な攻撃は、敵対的混乱を最小化する攻撃方策を表し、強い攻撃は、高信頼度の敵対的サンプルの生成を最適化する攻撃方策を表す。 The function "is diff" can be implemented in a number of ways. For example, L-distance can be used. Another possibility that can yield better results is to use an outlier detection system such as Local Outlier Factor (LOF), a method typically used to determine whether a given input from a set of inputs is an outlier based on the density of its nearest neighbors. Using LOF, improvements in accuracy have been demonstrated. Accuracy for subtle attacks ranges from 95% false negative rates (for the attack described in Kurakin, Alexey et al.) to 40% (for the attack described in Moosavi-Dezfooli, Seyed-Mohsen et al. and Goodfellow, Ian The accuracy of the strong attack remained unchanged at a 0% false negative rate (against the attacks described in Carlini, Nicholas, et al. and Madry, Aleksander, et al.), while the false negative rate of the optimized attack also decreased significantly from 80% to approximately 25%. Using further optimizations, it was possible to further improve accuracy to ensure further improvements in security. A subtle attack represents an attack strategy that minimizes adversarial perturbations, while a strong attack represents an attack strategy that optimizes the generation of high-confidence adversarial samples.

敵対的サンプルの例:
上記では、敵対者の強度が増したことを理由として、(たとえば敵対的サンプルをデジタル的に変化させる)デジタルバージョンの攻撃のみを基に説明されているが、物理的な敵対的サンプルも可能であり、本発明の実施形態は、そのような攻撃を検出するためにも同様に適用できることが示された。たとえば、悪意のあるパーティが、そのような攻撃により、一時停止標識にいくつかの些細な修正を追加することによって、自動運転車のアルゴリズムを、一時停止標識を別の標識として自動運転車に認識させるように欺く可能性がある。攻撃者の綿密なプロセスは、交通標識認識モデルのサロゲートモデルを生成するステップと、誤分類を招くように標識を変化させるための方法を調べるステップとを包含する可能性がある。次いで、攻撃者は、標的の自律運転システムを含む自動車を借りる/買い取ることにより、変更された標識にソフトウェアが対処するやり方を検査して、攻撃の成功率を評価することができる。この種の攻撃は、攻撃者に経済的利益をもたらさないことがあるが、重大な公的セキュリティリスクを提起し、事故の場合には、自動車の製造業者の責任に関係する可能性もある。
Examples of adversarial examples:
While the above discussion focuses solely on digital versions of attacks (e.g., digitally altering adversarial samples) due to the increased strength of the adversary, it has been shown that physical adversarial samples are also possible, and embodiments of the present invention are equally applicable to detecting such attacks. For example, a malicious party could use such an attack to trick an autonomous vehicle's algorithm into recognizing a stop sign as a different sign by adding a few minor modifications to the sign. The attacker's detailed process could involve generating a surrogate model of a traffic sign recognition model and investigating ways to alter the sign to result in misclassification. The attacker could then assess the success of the attack by renting or purchasing a vehicle containing the target autonomous driving system to examine how the software reacts to the altered signs. While this type of attack may not provide financial benefits to the attacker, it poses a significant public security risk and could potentially involve liability for the vehicle's manufacturer in the event of an accident.

同様に、そのような攻撃の使用事例は、顔認識システムを対象とすることもできるであろう。この場合、真正な対象者の認識を避ける(混乱攻撃)ため、またはサンプルを別の識別情報と誤って一致させる(扮装攻撃)ための、いずれかの敵対的サンプルが生成されて使用できる。そのような攻撃は、経済的な危害および/または個人的な危害をもたらす可能性があり、権限のない敵対者が安全装置または安全設備にアクセスできてしまう、技術的なセキュリティシステムの侵害の可能性もある。 Similarly, the use case for such attacks could be directed at facial recognition systems, where adversarial samples could be generated and used to either avoid recognition of genuine subjects (a confusion attack) or to falsely match samples with another identity (a deception attack). Such attacks could result in economic and/or personal harm, as well as the potential for breaching technical security systems, allowing unauthorized adversaries access to safeguards or equipment.

したがって、本発明の実施形態は以下の改善を提供するものである。
1.機械学習モデルのセキュリティを向上し、拡張セキュリティを有する機械学習モデルの用途を技術分野において改善する。
2.既知の真正なサンプルの参照のプールを使用することによって敵対的なサンプルと正当なサンプルとを区別するために、バックドア化モデルの出力を利用する。
3.敵対者に知られていないトリガを使用することにより、機械学習モデルのバックドア化変形形態を生成および利用して、トリガを付加されて、機械学習モデルのバックドア変形形態において評価された敵対的サンプルの分類の出力を、トリガを付加された真正なサンプルの分類の出力と比較することにより、敵対的サンプルを検出する。
4.n個の別々のトリガを使用して、敵対者に知られていない、モデルのN個のバックドア化変形形態を生成および使用して、N個のバックドア化変形形態におけるそれらのサンプルの分類の出力を検査することにより、敵対的サンプルを検出する。
5.既存の防御方策と比較して、(いくつかの真正なサンプルが誤って拒絶されることによる)精度の損失が軽減されて軽微になる。
6.既存の防御方策と比較して、防御の知見を有する敵対者に対するセキュリティが強化される。
Accordingly, embodiments of the present invention provide the following improvements:
1. Improve the security of machine learning models and improve the application of machine learning models with enhanced security in the field of technology.
2. Utilize the output of the backdoored model to distinguish between adversarial and legitimate samples by using a reference pool of known authentic samples.
3. Using a trigger unknown to the adversary, create and utilize a backdoored variant of the machine learning model to detect adversarial samples by comparing the classification output of the adversarial samples, with the trigger attached and evaluated on the backdoored variant of the machine learning model, with the classification output of the authentic samples, with the trigger attached.
4. Using n separate triggers, generate and use N backdoored variants of the model, unknown to the adversary, to detect adversarial samples by examining the output of classification of those samples in the N backdoored variants.
5. Compared to existing defenses, the loss of accuracy (due to some genuine samples being falsely rejected) is reduced and insignificant.
6. Compared to existing defenses, it provides enhanced security against an adversary with knowledge of the defense.

本発明の一実施形態によれば、敵対的サンプルに対して機械学習モデルのセキュリティを向上する方法は、以下の段階を含む。
セットアップ段階:
- 分類モデルMを受け取る
- ランダムトリガt1、..、tNを局所的に使用して、バックドア化モデルM'1、..、M'Nを生成する
検出段階:
- 分類するべきサンプルsを受け取ったとき:
〇それぞれのバックドア化モデルM'1、..、M'Nについて、トリガtiを付加された、バックドア化モデルM'iにおいて、サンプルsを分類する(yi←M'i(s+ti))
〇出力のセットy1..Nを使用して、出力がバックドアクラスと等しくない(yi
)回数をカウントする。
〇誤分類の数が閾値σを上回ったらサンプルを拒絶し、不正に変更されたものとしてフラグを立て、そうでない場合、正当なモデル(M)に対する分類要求の結果を出力する
高度な検出:
- 追加のセットアップ:
〇複数の真正なサンプルsgを選択する
〇それぞれの真正なサンプルsgについて、バックドア化モデルM'i..Nの各々のサンプルsのロジットlを計算して、ロジット出力
のセットに記憶する
- 検出:
〇分類するべきサンプルsを受け取ったとき、
■それぞれのバックドア化モデルM'i..Nについて、トリガtiを付加されたバックドアモデルM'iにおいてサンプルsを分類し(yi←M'i(s+ti))、liとしてロジットを抽出する
■それぞれのバックドア化モデルM'i..Nについて、それぞれのバックドア化モデルを使用して生成された正当なロジット
のセットと比較されたロジットにおいて、外れ値検出方法(LOFなど)を適用する
■σ∈[0,1]が所定の閾値であるとき、σNよりも多くのバックドア化モデルMiがロジットベクトルliを外れ値として検出したら、対応するサンプルsが拒絶される。この機構は、特定の出力を与えるバックドア化モデルの数(図2におけるd)がこの実施形態ではカウントされないという意味で、図2に示された機構(この例では閾値σは0に設定されている)に類似である。図2の例では、この特定の出力はターゲットクラスと異なる分類であるが、この高度な検出の実施形態では、特定の出力は外れ値評決である。図2の実施形態と高度な検出との両方において、d>σNである場合サンプルが拒絶される。
According to one embodiment of the present invention, a method for improving the security of a machine learning model against adversarial examples comprises the following steps.
Setup phase:
- Receive a classification model M
- A detection phase that generates backdoored models M' 1 , .., M' N using random triggers t 1 , .., t N locally:
- When receiving samples to classify:
For each backdoored model M' 1 , .., M' N , classify sample s in backdoored model M' i with trigger t i (y i ←M' i (s+t i )).
Use the set of outputs y 1..N to check if the output is not equal to the backdoor class (y i
) count the number of times.
Advanced detection: reject the sample if the number of misclassifications exceeds a threshold σ, flagging it as tampered with, otherwise outputting the results of the classification request to the legitimate model (M).
- Additional setup:
Select multiple genuine samples s g. For each genuine sample s g , calculate the logit l of each sample s in the backdoored model M' i...N and obtain the logit output
Store in a set of
- Detection:
When you receive a sample s to be classified,
■ For each backdoored model M' i..N , classify sample s in backdoored model M' i with trigger t i (y i ← M' i (s + t i )) and extract logits as li. ■ For each backdoored model M' i..N , extract the legitimate logits generated using the respective backdoored model.
Apply an outlier detection method (such as LOF) on the logits compared to the set of σ. When σ∈[0,1] is a predetermined threshold, if more backdoored models Mi detect the logit vector l i as an outlier than σN, the corresponding sample s is rejected. This mechanism is similar to the mechanism shown in FIG. 2 (in this example, the threshold σ is set to 0) in the sense that the number of backdoored models giving a particular output (d in FIG. 2) is not counted in this embodiment. In the example of FIG. 2, this particular output is a classification different from the target class, but in this advanced detection embodiment, the particular output is an outlier verdict. In both the embodiment of FIG. 2 and advanced detection, a sample is rejected if d>σN.

本発明の実施形態は、攻撃者と防御者との間の対称な知見を壊すことにより、適応型攻撃に対する頑健性を有利に提供するものである。バックドア化モデルのトリガは、攻撃者に対する未知の機密キーとして働く。 Embodiments of the present invention advantageously provide robustness against adaptive attacks by breaking the symmetric knowledge between the attacker and the defender. The trigger of the backdoored model acts as an unknown secret key to the attacker.

本発明の実施形態は、図および前述の説明において詳細に示され、説明されてきたが、そのような図示および説明は実例または例示であって、限定的ではないと考えられるべきである。当業者なら以下の特許請求の範囲の範囲内で変更および修正をなすことができることが、理解されよう。詳細には、本発明は、上記および下記の別々の実施形態からの特徴の任意の組合せを用いる実施形態を、さらに包含するものである。加えて、本明細書における、本発明を特徴付ける記述は、本発明の一実施形態を指し、必ずしもすべての実施形態を指すわけではない。 While embodiments of the present invention have been shown and described in detail in the drawings and foregoing description, such illustrations and descriptions are to be considered illustrative or exemplary and not restrictive. Those skilled in the art will understand that changes and modifications may be made within the scope of the following claims. In particular, the present invention further encompasses embodiments using any combination of features from the separate embodiments described above and below. In addition, statements characterizing the present invention herein refer to one embodiment of the present invention and not necessarily to all embodiments.

特許請求の範囲において使用される用語は、前述の説明と矛盾しない、最も広範かつ適切な解釈を得るように解釈されるべきである。たとえば、要素を紹介する際の"a"または"the"といった冠詞の使用は、複数の要素を除外するように解釈されるべきではない。同様に、「または」の詳説は包括的に解釈されるべきであり、「AまたはB」の詳説は、状況または先行の説明からAおよびBのうち1つだけを意図することが明らかでない場合、「AおよびB」を除外しない。さらに、「A、BおよびCのうち少なくとも1つ」の詳説は、A、BおよびCがカテゴリとして関係があろうとなかろうと、A、BおよびCから成る要素のグループのうち1つまたは複数と解釈されるべきであり、列挙された要素A、BおよびCの各々を少なくとも1つ必要とするように解釈されるべきではない。なおまた、「A、Bおよび/またはC」または「A、BまたはCのうち少なくとも1つ」の詳説は、列挙された要素からの、たとえば任意の単数のエンティティであるA、列挙された要素からの、たとえばAおよびBといった任意のサブセット、または要素A、BおよびCの全体のリストを含むと解釈されるべきである。 The terms used in the claims should be interpreted in the broadest possible manner consistent with the foregoing. For example, the use of articles such as "a" or "the" when introducing an element should not be construed as excluding a plurality of elements. Similarly, "or" recitations should be construed inclusively, and a recitation of "A or B" does not exclude "A and B" unless it is clear from the context or the preceding description that only one of A and B is intended. Furthermore, a recitation of "at least one of A, B, and C" should be interpreted as one or more of the group of elements consisting of A, B, and C, regardless of whether A, B, and C are related categorically, and should not be interpreted as requiring at least one of each of the listed elements A, B, and C. Furthermore, recitation of "A, B and/or C" or "at least one of A, B or C" should be interpreted to include any singular entity, e.g., A, from the listed elements, any subset, e.g., A and B, from the listed elements, or the entire list of elements A, B and C.

10 セットアップ段階
12 機械学習モデル
15 バックドア化モデル
20 評価段階
22 サンプル
24 画像
25 トリガ
30 評価段階
32 真正なサンプル
40 バックドア化モデルを生成するための方法
10 Setup Phase
12 Machine Learning Models
15 Backdoor model
20 Evaluation Stage
22 Samples
24 images
25 Trigger
30 Evaluation Stages
32 Authentic Samples
40 Method for generating backdoored models

Claims (15)

1つまたは複数のハードウェアプロセッサによって実行される、敵対的サンプルに対して、真正な機械学習モデルを安全にするための方法であって、
a)分類されるサンプルにトリガを付加するステップと、
b)前記トリガを使用してバックドア化されたバックドア化モデルを使用して、前記トリガを付加された前記サンプルを分類するステップと、
c)ステップb)における前記バックドア化モデルの出力が前記バックドア化モデルのバックドアクラスと同一であるかどうかを判定し、かつ/または、ステップb)からのロジットと、前記トリガを付加して前記バックドア化モデルに適用された真正なサンプルを使用して計算された正当なロジットとを比較する外れ値検出方法を適用するステップと、
d)別々のトリガおよびそれぞれ前記別々のトリガに関連付けられたバックドア化モデルを使用してステップa)~c)を繰り返すステップと、
e)前記サンプルが敵対的サンプルかどうかを判定するために、前記バックドア化モデルの前記出力のそれぞれが、前記バックドア化モデルのそれぞれの前記バックドアクラスと同じでなかった回数を所定の閾値と比較し、かつ/または前記外れ値検出方法を適用することによって判定された差を差閾値と比較するステップと
を含む、方法。
1. A method for securing a genuine machine learning model against adversarial examples , executed by one or more hardware processors, comprising :
a) adding a trigger to the sample to be classified;
b) classifying the sample tagged with the trigger using a backdoored model backdoored using the trigger;
c) determining whether the output of the backdoored model in step b) is identical to the backdoor class of the backdoored model and/or applying an outlier detection method that compares the logits from step b) with legitimate logits calculated using authentic samples applied to the backdoored model with the trigger added;
d) repeating steps a) to c) using different triggers and backdooring models associated with each of said different triggers;
e) comparing the number of times each of the outputs of the backdoored models was not the same as the backdoor class of each of the backdoored models with a predetermined threshold and/or comparing the difference determined by applying the outlier detection method with a difference threshold to determine whether the sample is an adversarial sample.
前記バックドア化モデルの前記出力のそれぞれが、前記バックドア化モデルの前記バックドアクラスのそれぞれと同じでなかった回数が前記閾値以下である場合、前記サンプルに関する分類要求の結果として、前記トリガを付加されていない前記サンプルを、前記真正な機械学習モデルを使用して分類するステップと、
前記バックドア化モデルの前記出力のそれぞれが、前記バックドア化モデルの前記バックドアクラスのそれぞれと同じでなかった回数が前記閾値よりも多い場合、前記サンプルを前記敵対的サンプルとして拒絶するステップと
をさらに含む、請求項1に記載の方法。
classifying the untriggered sample using the genuine machine learning model as a result of a classification request for the sample if the number of times each of the outputs of the backdoored model is not the same as each of the backdoor classes of the backdoored model is less than or equal to the threshold;
and rejecting the sample as the adversarial sample if each of the outputs of the backdoored model was not the same as each of the backdoored classes of the backdoored model more times than the threshold.
前記バックドア化モデルの前記出力のそれぞれが、前記バックドア化モデルの前記バックドアクラスのそれぞれと同じでなかった回数が前記閾値よりも多い場合、前記サンプルに、不正に変更されたものとしてフラグを立てるステップをさらに含む、請求項2に記載の方法。 The method of claim 2, further comprising flagging the sample as tampered with if the number of times each of the outputs of the backdoored model is not the same as each of the backdoored classes of the backdoored model is greater than the threshold. 前記閾値がゼロである、請求項3に記載の方法。 The method of claim 3, wherein the threshold is zero. 前記バックドア化モデルの各々が、
前記それぞれのトリガを、前記真正な機械学習モデルによって認識可能なパターンとして生成するステップと、
複数の訓練サンプルに対して前記それぞれのトリガを追加するステップと、
前記それぞれのトリガを追加された前記訓練サンプルのターゲットクラスを、前記バックドアクラスのそれぞれに変更するステップと、
前記それぞれのトリガを追加された前記訓練サンプルを使用して、前記真正な機械学習モデルの別のバージョンを訓練するステップと
によって生成される、請求項1から4のいずれか一項に記載の方法。
Each of the backdoored models is
generating each of the triggers as a pattern recognizable by the true machine learning model;
adding said respective triggers to a plurality of training samples;
changing the target class of the training sample to which each of the triggers has been added to each of the backdoor classes;
and training another version of the true machine learning model using the training samples with the respective triggers added.
前記訓練が、前記それぞれのバックドア化モデルが90%以上の精度を得るまで実行され、前記精度が、同一のトリガを有する別々のサンプルが誤って分類される確率を示す、請求項5に記載の方法。 6. The method of claim 5, wherein the training is performed until each of the backdoored models achieves an accuracy of 90% or greater , where the accuracy indicates the probability that separate samples with the same trigger are misclassified . 前記真正な機械学習モデルおよび前記真正な機械学習モデルの前記バージョンがそれぞれ訓練され、前記それぞれのトリガを追加された前記訓練サンプルを使用して前記真正な機械学習モデルの前記バージョンを訓練する前記ステップが、前記真正な機械学習モデルから前記それぞれのバックドア化モデルを作成するための追加の訓練である、請求項5に記載の方法。 The method of claim 5, wherein the genuine machine learning model and the version of the genuine machine learning model are each trained, and the step of training the version of the genuine machine learning model using the training samples with the respective triggers added is additional training to create the respective backdoored models from the genuine machine learning model. 前記追加の訓練が、前記それぞれのトリガを追加された前記サンプルとともに真正なサンプルを用いて訓練するステップを含む、請求項7に記載の方法。 The method of claim 7, wherein the additional training includes training each of the triggers using authentic samples along with the added samples. 前記分類するステップb)が、前記バックドア化モデルを使用して、前記トリガを付加された前記サンプルの分類における前記ロジットを抽出するステップを含み、前記バックドア化モデルの出力クラスが、前記サンプルが前記敵対的サンプルかどうかを判定するために使用されることはなく、ステップe)において、ステップb)からの前記ロジットが、前記それぞれのトリガを付加されて、前記バックドア化モデルの各々に適用された、複数の真正なサンプルを使用して計算されたものである、正当なロジットのセットと比較される、請求項1から8のいずれか一項に記載の方法。 The method of any one of claims 1 to 8, wherein the classifying step b) includes using the backdoored model to extract the logits for the classification of the sample to which the trigger has been added, the output class of the backdoored model is not used to determine whether the sample is the adversarial sample, and in step e) the logits from step b) are compared to a set of legitimate logits calculated using multiple genuine samples to which the respective triggers have been added and applied to each of the backdoored models. 前記ロジットの各々についての前記外れ値検出方法の結果が前記差閾値以下である場合、前記サンプルに関する分類要求の結果として、前記真正な機械学習モデルを使用して、前記トリガを付加されていな前記サンプルを分類するステップと、
前記ロジットの各々についての前記外れ値検出方法の前記結果が前記差閾値よりも大きい場合、前記サンプルを前記敵対的サンプルとして拒絶するステップと
をさらに含む、請求項9に記載の方法。
If the result of the outlier detection method for each of the logits is less than or equal to the difference threshold, then as a result of a classification request for the sample, classifying the untriggered sample using the genuine machine learning model;
and rejecting the sample as the adversarial sample if the result of the outlier detection method for each of the logits is greater than the difference threshold.
前記外れ値検出方法がLocal Outlier Factorアルゴリズムを使用する、請求項10に記載の方法。 The method of claim 10, wherein the outlier detection method uses a Local Outlier Factor algorithm. 前記真正な機械学習モデルがニューラルネットワークに基づいて画像分類用に訓練される、請求項1から11のいずれか一項に記載の方法。 The method of any one of claims 1 to 11, wherein the true machine learning model is trained for image classification based on a neural network. 敵対的サンプルに対して、真正な機械学習モデルを安全にするためのシステムであって、
a)分類されるサンプルにトリガを付加するステップと、
b)前記トリガを使用してバックドア化されたバックドア化モデルを使用して、前記トリガを付加された前記サンプルを分類するステップと、
c)ステップb)における前記バックドア化モデルの出力が前記バックドア化モデルのバックドアクラスと同一であるかどうかを判定し、かつ/または、ステップb)からのロジットと、前記トリガを付加して前記バックドア化モデルに適用された真正なサンプルを使用して計算された正当なロジットとを比較する外れ値検出方法を適用するステップと、
d)別々のトリガを使用してステップa)~c)を繰り返すステップと、
e)前記サンプルが敵対的サンプルかどうかを判定するために、前記バックドア化モデルの前記出力のそれぞれが、前記バックドア化モデルのそれぞれの前記バックドアクラスと同じでなかった回数を所定の閾値と比較し、かつ/または前記外れ値検出方法を適用することによって判定された差を差閾値と比較するステップと
実行するために、単独で、または組合せにおいて構成される1つまたは複数のハードウェアプロセッサを備える、システム。
A system for securing genuine machine learning models against adversarial examples, comprising:
a) adding a trigger to the sample to be classified;
b) classifying the sample tagged with the trigger using a backdoored model backdoored using the trigger;
c) determining whether the output of the backdoored model in step b) is identical to the backdoor class of the backdoored model and/or applying an outlier detection method that compares the logits from step b) with legitimate logits calculated using authentic samples applied to the backdoored model with the trigger added;
d) repeating steps a) through c) using different triggers; and
e) comparing the number of times each of the outputs of the backdoored models was not the same as the backdoor class of each of the backdoored models with a predetermined threshold and/or comparing the difference determined by applying the outlier detection method with a difference threshold to determine whether the sample is an adversarial sample;
1. A system comprising one or more hardware processors configured alone or in combination to execute :
前記バックドア化モデルの前記出力のそれぞれが前記バックドア化モデルの前記バックドアクラスのそれぞれと同じでなかった回数が前記閾値以下である場合、前記サンプルに関する分類要求の結果として、前記トリガを付加されていない前記サンプルを、前記真正な機械学習モデルを使用して分類し、
前記バックドア化モデルの前記出力のそれぞれが前記バックドア化モデルの前記バックドアクラスのそれぞれと同じでなかった回数が前記閾値よりも多い場合、前記サンプルを前記敵対的サンプルとして拒絶する
ようにさらに構成される、請求項13に記載のシステム。
classifying the untriggered sample using the genuine machine learning model as a result of a classification request for the sample if the number of times each of the outputs of the backdoored model is not the same as each of the backdoor classes of the backdoored model is less than or equal to the threshold;
14. The system of claim 13, further configured to reject the sample as the adversarial sample if each of the outputs of the backdoored model was not the same as each of the backdoored classes of the backdoored model more times than the threshold.
命令を有する、有体の非一時的コンピュータ可読媒体であって、前記命令が、1つまたは複数のプロセッサによって実行されたとき、
a)分類されるサンプルにトリガを付加するステップと、
b)前記トリガを使用してバックドア化されたバックドア化モデルを使用して、前記トリガを付加された前記サンプルを分類するステップと、
c)ステップb)における前記バックドア化モデルの出力が前記バックドア化モデルのバックドアクラスと同一であるかどうかを判定し、かつ/または、ステップb)からのロジットと、前記トリガを付加して前記バックドア化モデルに適用された真正なサンプルを使用して計算された正当なロジットとを比較する外れ値検出方法を適用するステップと、
d)別々のトリガを使用してステップa)~c)を繰り返すステップと、
e)前記サンプルが敵対的サンプルかどうかを判定するために、前記バックドア化モデルの前記出力のそれぞれが前記バックドア化モデルのそれぞれの前記バックドアクラスと同じでなかった回数を所定の閾値と比較し、かつ/または前記外れ値検出方法を適用することによって判定された差を差閾値と比較するステップと
を実行することにより、真正な機械学習モデルを敵対的サンプルに対して安全にする、有体の非一時的コンピュータ可読媒体。
A tangible, non-transitory computer-readable medium having instructions that, when executed by one or more processors,
a) adding a trigger to the sample to be classified;
b) classifying the sample tagged with the trigger using a backdoored model backdoored using the trigger;
c) determining whether the output of the backdoored model in step b) is identical to the backdoor class of the backdoored model and/or applying an outlier detection method that compares the logits from step b) with legitimate logits calculated using authentic samples applied to the backdoored model with the trigger added;
d) repeating steps a) through c) using different triggers; and
e) comparing the number of times each of the outputs of the backdoored models was not the same as the backdoor class of each of the backdoored models with a predetermined threshold and/or comparing the difference determined by applying the outlier detection method with a difference threshold to determine whether the sample is an adversarial sample.
JP2023537385A 2021-03-09 2021-12-07 Securing machine learning models against adversarial examples via backdoor misclassification Active JP7825105B2 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202163158387P 2021-03-09 2021-03-09
US63/158,387 2021-03-09
US17/342,571 US11977626B2 (en) 2021-03-09 2021-06-09 Securing machine learning models against adversarial samples through backdoor misclassification
US17/342,571 2021-06-09
PCT/EP2021/084554 WO2022189018A1 (en) 2021-03-09 2021-12-07 Securing machine learning models against adversarial samples through backdoor misclassification

Publications (2)

Publication Number Publication Date
JP2024508582A JP2024508582A (en) 2024-02-28
JP7825105B2 true JP7825105B2 (en) 2026-03-06

Family

ID=79025074

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023537385A Active JP7825105B2 (en) 2021-03-09 2021-12-07 Securing machine learning models against adversarial examples via backdoor misclassification

Country Status (2)

Country Link
JP (1) JP7825105B2 (en)
WO (1) WO2022189018A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116188889B (en) * 2022-12-16 2026-01-02 杭州后量子密码科技有限公司 A method and apparatus for generating adversarial samples for targeted attacks
CN119475331B (en) * 2024-10-11 2025-09-30 浙江大学 A robust backdoor defense method and system without auxiliary data dependence

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019207770A1 (en) 2018-04-27 2019-10-31 日本電気株式会社 Learned model update device, learned model update method, and program
CN112084505A (en) 2020-09-21 2020-12-15 西安交通大学 Deep learning model malicious sample detection method, system, device and storage medium
US20210019399A1 (en) 2019-05-29 2021-01-21 Anomalee Inc. Detection of Test-Time Evasion Attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019207770A1 (en) 2018-04-27 2019-10-31 日本電気株式会社 Learned model update device, learned model update method, and program
US20210019399A1 (en) 2019-05-29 2021-01-21 Anomalee Inc. Detection of Test-Time Evasion Attacks
CN112084505A (en) 2020-09-21 2020-12-15 西安交通大学 Deep learning model malicious sample detection method, system, device and storage medium

Also Published As

Publication number Publication date
WO2022189018A1 (en) 2022-09-15
JP2024508582A (en) 2024-02-28

Similar Documents

Publication Publication Date Title
US11977626B2 (en) Securing machine learning models against adversarial samples through backdoor misclassification
Udeshi et al. Model agnostic defence against backdoor attacks in machine learning
Ma et al. Nic: Detecting adversarial samples with neural network invariant checking
Chen et al. Targeted backdoor attacks on deep learning systems using data poisoning
US11475130B2 (en) Detection of test-time evasion attacks
US20220245243A1 (en) Securing machine learning models against adversarial samples through model poisoning
Khalid et al. Fademl: Understanding the impact of pre-processing noise filtering on adversarial machine learning
Chen et al. LinkBreaker: Breaking the backdoor-trigger link in DNNs via neurons consistency check
JP7825105B2 (en) Securing machine learning models against adversarial examples via backdoor misclassification
Dathathri et al. Detecting adversarial examples via neural fingerprinting
Vani Towards efficient intrusion detection using deep learning techniques: a review
Li et al. Detecting adversarial patch attacks through global-local consistency
Penmetsa et al. Adversarial Machine Learning in Cybersecurity: A Review on Defending Against AI-Driven Attacks
Alslman et al. A robust SNMP-MIB intrusion detection system against adversarial attacks
Mumcu et al. Multimodal attack detection for action recognition models
Al-Khayyat et al. A multi-branched hybrid perceptron network for DDoS attack detection using dynamic feature adaptation and multi-instance learning
Mumcu et al. Detecting adversarial examples
CN115248916A (en) Back door model detection method based on graph feature vector guidance
Shaburov et al. Protection models of critical information infrastructure objects from targeted computer attacks
A. Tekgul et al. FLARE: Fingerprinting deep reinforcement learning agents using universal adversarial masks
Cennamo et al. A statistical defense approach for detecting adversarial examples
CN119026121A (en) Intent classification method, device, storage medium and program product for threat intelligence
Popovic et al. {DeBackdoor}: A Deductive Framework for Detecting Backdoor Attacks on Deep Models with Limited Data
Dhande et al. HMCMA: Design of an Efficient Model with Hybrid Machine Learning in Cyber security for Enhanced Detection of Malicious Activities
Pawar et al. Pattern classification under attack on spam filtering

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20251118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251209

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20260108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20260108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20260129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20260129

R150 Certificate of patent or registration of utility model

Ref document number: 7825105

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150