Hexo

2024-01-08 1.4k words 5 mins

Backdoor_Defense_with_Machine_Unlearning

摘要本文提出了一种基于machine unlearning（机器不学习，机器学习遗忘）的擦除后门攻击的方法，主要有两步：触发器模式恢复：从受害者模型中提取出触发器的模式。这个问题等价于：从受害者模型中提取出一个特定的噪声信号（分布），这可以通过熵最大化生成模型来解决。受害者模型净化：通过1中恢复出来的触发器模式，结合基于machine unlearning的梯度上升的方法，来擦除模型污染的记忆（也就是模型遗忘）。对比之前的machine unlearning方法，该方法不需要访问所有训练数据来进行重训练，并且比微调or修建方法更好。baseline有三个优的攻击方法，本文方法可以降低

2024-01-02 1.4k words 6 mins

probability

《应用数理统计》主要考点一、样本及抽样分布三大分布，正态总体抽样分布的结论. 正态分布$\frac{x-\mu}{\sigma}\sim N(0,1)$ 求分位点：卡方分布有几个正态分布，自由度就是几（上式中是n）卡方分布的性质：均值为n，方差2n 可加性 t分布定义： X是标准正态分布，Y是自由度为n的卡方分布。性质：关于纵轴对称（y）自由度趋近无穷，t分布趋近标准正态分布 F分布定义： U、V分别是自由度为n1、n2的卡方分布抽样分布结论二、参数估计矩估计，极大似然估计，点估计量的无偏性、有效性，正态总体参数的置信区间. 矩估计步骤：求总体原点距

2023-12-30 424 words 1 min

matrix

第一章子空间加法数乘取值证明子空间非空线性变换证明线性变换加法数乘求线性变换T在基E下的矩阵求出$T(E_1)=(E_1,E_2,E_3)(x_1,x_2,x_3)^T$ 将x的向量拼起来，得到矩阵第二章内积证明内积验证： $(\alpha,\beta)=(\beta,\alpha)$ $(k\alpha,\beta)=k(\alpha,\beta)$ $(\alpha+\beta,\gamma)=(\alpha,\gamma)+(\beta,\gamma)$ $(\alpha,\alpha)\ge0$ 求标准正

2023-12-09 2.5k words 9 mins

summary_231209

对先前阅读的中毒攻击以及后门攻击的论文做一个总结。评级&组Baochun Li Yanjiao Chen Qian Wang 论文名称期刊/会议等级课题组 Poisoning Attacks on Deep Learning based Wireless Traffic Prediction INFOCOM2022 A Li/Chen MetaPoison: Practical General-purpose Clean-label Data Poisoning NIPS A OBLIVION: Poisoning Federated

2023-12-08 2k words 6 mins

BadNets:Evaluating_Backdooring_Attacks_on_Deep_Neural_Networks

摘要介绍深度学习在众多分类、预测任务中有最优性能。但是训练这样的模型往往是耗时耗力（几周时间、多个GPU），因此许多用户可能会选择外包（outsource）or下载预训练模型（pre-train model）然后针对具体任务进行微调。本文介绍outsource或者pre-train model可能存在的问题：攻击者可能会创造一个恶意的模型（称为BadNet，或者带有后门的模型，backdoored NN），这个模型在用户训练集和验证集上表现很好（否则用户可能会直接拒绝模型），但是在攻击者选择的输入上性能表现差。本文工作：1. 探索BadNet的定义，通过创建一个带有后门的手写数字分类器；2

2023-11-19 20 words 1 min

huawei_hpc

一条救命的指令： 1LD_PRELOAD=~/bin/gcc11/usr/local/lib64/libstdc++.so.6 python setup.py build

2023-11-14 3k words 10 mins

PALETTE:Physically-Realizable_Backdoor_Attacks_Against_Video_Recognition_Models

摘要后门攻击被广泛使用在图像分类（cv）中，但是在视频识别领域很少有人调查或者研究。本文探索了后门攻击在视频识别中的物理实现。和已存在的工作（直接采用图片中的后门攻击，应用到视频识别领域，例如：将后门作为补丁打到每一个视频帧中去）不同，本文提出的后门攻击考虑了视频帧之间的时序交互，名PALETTE：利用类似光照效果的RGB偏移作为触发器，而不是传统的打补丁。通过滚动操作对特定的视频帧进行投毒。代码开源。介绍首段介绍了深度学习的性能越来越好，模型规模、参数个数也在变大，所消耗的硬件资源也越来越多，例如内存、CPU、GPU等，另外数据的规模也在增大，尤其是GPT、大模型流行之后。在此状

2023-11-14 1.6k words 5 mins

ATTEQ-NN:Attention-based_QoE-aware_Evasive_Backdoor_Attacks

标题基于注意力的体验质量感知逃避后门攻击。摘要本文创新点：基于注意力的逃避后门攻击在生成trigger的loss函数里增加QoE（quality of experience，质量经验）问题范围和威胁模型范围：集中式场景威胁模型：和以前的一样，这里作者特意引用了三个文献，表示和他们文章中使用的威胁模型是一样的：攻击者可以通过训练数据集训练出后门模型，然后给客户，或者分发在网上。后门攻击架构两个组件：触发器生成+后门注入。触发器生成关键在于找到触发器样本和误分类标签之间的桥梁–模型中的神经元。需要找到某一合适的layer中的某些神经元。这些层不会是卷积层、汇聚层，因为这些层连接

2023-11-13 482 words 1 min

Neural_Attention_Distillation_Erasing_Backdoor_Triggers_from_Deep_Neural_Networks

摘要提出的框架NAD（Neural Attention Distillation，神经注意力蒸馏）：在一小部分干净数据集上，用一个老师模型来对学生模型进行微调，老师模型可以从学生模型中得到，最终我们需要的就是经过微调后的学生模型。实验效果：通过5%的干净数据集，在不对模型性能（在干净数据上）造成明显下降的情况下，能够清除后门提出的方法吐槽：这有必要用一个节标题吗。。在带有后门的NN中，有些神经元会对带有后门模式的representation响应，而良性的神经元只会响应有意义的representation。NAD就是优化那些会对后门模式响应的神经元。最主要的问题是：怎么区分represe

2023-11-09 2.1k words 7 mins

Purifying_Backdoors_in_Deep_Learning_Models_using_Self_Attention_Distillation

摘要后门攻击与中毒攻击不同，后门可以被植入模型中，当特定数据被输入到模型中后，后门触发，能够有目标或者无目标的误导模型的分类。先踩了一波[69]，东北大学的一篇文章，提出了很多净化方法，试图除掉后门；但是，这些方法既没有降低攻击的成功率（在一些先进的攻击方法上），或者，就是降低了模型在干净数据上的成功率。本文提工作： SAGE，利用自监督蒸馏来除掉模型中的后门。自监督蒸馏的意思就是不需要老师（模型）来监督蒸馏过程。自监督蒸馏只需要一小部分干净数据。动态学习率调整策略实验：6个最优方法、8个后门攻击、4个数据集实验效果：最多减少90%的攻击成功率，仅仅需要最多3%的干净数据集上的损