System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术属于深度学习模型安全领域领域,具体涉及一种针对深度学习后门攻击防御的性能评估方法。
技术介绍
1、深度学习(dl)模型在多个领域中都取得了惊人的表现。其中一个最主要的原因是模型的深度和复杂度不断发展,这些模型可以有数百万、数十亿甚至数万亿个参数。虽然大型模型是目前的主流的优化趋势,但是由于边缘物联网设备和移动设备的资源和计算能力受限,无法在上面部署大模型,因此常用知识蒸馏、模型修剪和量化对模型进行压缩。其中,量化可以将模型中的参数从32位浮点数压缩到8比特整型甚至是1比特(又称二值化,二值化的模型可以将原来的乘法转换为异或从而加速模型推理),正因为量化可以同时压缩模型大小、加速推理,并且没有牺牲原模型太多精度,因此量化是最具有吸引力的模型压缩方法。
2、在深度学习中有一种常见的对抗性攻击,即后门攻击。这种攻击可以使攻击者能够在深度学习模型中插入一个后门,在正常输入的情况下,该模型会像其干净模型一样正常运行,而且在不影响正常预测的情况下,如果输入中包含攻击者选择的秘密触发器,该模型就会出现异常行为。例如,一幅猫的图像被添加上触发器,就可以使得模型误将其分类为狗。因为攻击可以对触发的任意控制,这使得后门攻击具有非常高的隐蔽性,在现实世界场景中很容易实现。例如,触发器可以是仅修改图像中的某些像素,也可以是一种天然的触发器,例如眼镜或耳环,当面部识别系统被植入后门,任何戴上眼镜或者耳环的人都会被误认为是管理员。
3、深度学习模型很容易受到潜在后门攻击的影响,但是随着深度学习的不断发展,现在已经出现了许多
技术实现思路
1、本专利技术的目的在于提供一种针对深度学习后门攻击防御的性能评估方法,该方法具有通用性,解决了目前攻击防御方法对于应用场景的局限性。
2、实现本专利技术目的的技术方案为:
3、一种针对深度学习后门攻击防御的性能评估方法,包括步骤:
4、s1、收集用于评估待测后门攻击防御方法的数据集,该数据集包括不同的分类个数;
5、s2、收集用于评估待测后门攻击防御方法的模型,设定配置参数;
6、s3、基于数据集和模型,通过待测后门攻击防御方法的表现性能该方法是否对数据集敏感,若对数据集敏感,则该待测后门攻击防御方法不具有鲁棒性,否则执行步骤s4;
7、s4、基于分类个数不同的模型,评估待测后门攻击防御方法的性能是否受到分类个数的影响,若该防御方法受到分类个数的影响,则在不同的分类任务下不具有鲁棒性,否则执行执行步骤s5;
8、s5、评估待测后门攻击防御方法的性能是否受到batch size的影响,如果该防御方法在不同大小的batch size上的性能和设定基准的误差超过阈值,则认为该防御方的性能法对batch size大小敏感,在不同的batch size上不具有鲁棒性,否则执行步骤s6;
9、s6、评估待测后门攻击防御方法的性能是否受到cda的影响,若该防御方法不受模型cda的影响,则执行步骤s7;
10、s7、评估待测后门攻击防御方法的性能是否受到投毒率的影响,若该防御方法不受后门模型投毒率的影响度,则执行步骤s8;
11、s8、评估待测后门攻击防御方法的性能是否受到模型复杂度的影响,若该防御方法受到模型复杂度的影响,则在不同复杂度的模型架构上不具有鲁棒性,否则执行步骤s9;
12、s9、评估待测后门攻击防御方法的性能是否受到模型量化的影响,若该防御方法受到模型量化的影响,则不具有鲁棒性,否则该防御方法具有鲁棒性,其性能满足要求。
13、进一步地,所述数据集至少包括一个二分类的数据集和一个多分类的数据集,以及两个不同的十分类的数据集。
14、进一步地,所述多分类的分类数大于43。
15、进一步地,用于评估待测后门攻击防御方法的模型包括:每个分类任务至少对应一个干净模型和一个带后门的模型,每个不同batch size至少对应一个干净模型和后门模型,至少一个不同cda的后门模型,至少一个不同投毒率的后门模型,不同模型架构训练的至少一个干净模型和一个后门模型。
16、进一步地,所述步骤s4包括:对不同分类任务选择相同配置下的一个干净模型和一个后门模型,对后门攻击防御方法进行测试,如果该防御方法的表现在使用不同分类数据集训练的模型上都能成功生效,则认为该防御方法不受分类个数的影响,对不同分类个数的任务都具有鲁棒性,反之不具有鲁棒性。
17、进一步地,所述步骤s5选择配置相同但batch size不同的干净模型和后门模型进行测试,所述步骤s6选择配置相同但cda不同的后门模型进行测试,所述步骤s7选择配置相同但投毒率不同的后门模型,若该防御方法的表现在对应测试的模型上都能成功生效,则认为具有鲁棒性。
18、进一步地,所述步骤s8包括:选择配置相同模型架构不同的一个干净模型和一个后门模型,对后门攻击防御方法进行测试,如果该防御方法的表现在不同的模型架构上都能成功生效,则认为该防御不受模型架构的影响,对不同模型架构都具有鲁棒性,反之,不具有鲁棒性。
19、进一步地,所述步骤s9包括:选择任意成对的干净模型和后门模型进行量化,选择配置相同但采用不同量化方式的模型,对后门攻击防御方法进行测试,如果该防御方法的表现在不同量化方式的模型上都能成功生效,则认为该防御方法不受量化的影响,对采用不同量化方式的模型都具有鲁棒性,反之,则认为该防御方法在此量化下失效,不能正常工作。
20、进一步地,所述量化至少进行在8比特量化和2比特量化。
21、进一步地,所述数据集通过重新创建或者开源数据库获取,所述模型为开源的预训练模型或从零开始训练的模型。
22、与现有技术相比,本专利技术的有益效果为:(1)本专利技术是首个针对深度学习后门攻击的防御提出的通用性评估方法;(2)本专利技术不局限于某个环境,可以全面的评估每一个防御方法;(3)本专利技术把量化也考虑在内,弥补了现在后门防御在量化模型上的空白。
本文档来自技高网...【技术保护点】
1.一种针对深度学习后门攻击防御的性能评估方法,其特征在于,包括步骤:
2.根据权利要求1所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述数据集至少包括一个二分类的数据集和一个多分类的数据集,以及两个不同的十分类的数据集。
3.根据权利要求2所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述多分类的分类数大于43。
4.根据权利要求2所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,用于评估待测后门攻击防御方法的模型包括:每个分类任务至少对应一个干净模型和一个带后门的模型,每个不同Batch Size至少对应一个干净模型和后门模型,至少一个不同CDA的后门模型,至少一个不同投毒率的后门模型,不同模型架构训练的至少一个干净模型和一个后门模型。
5.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤S4包括:对不同分类任务选择相同配置下的一个干净模型和一个后门模型,对后门攻击防御方法进行测试,如果该防御方法的表现在使用不同分类数据集训练的模型上都能成功生效,则认为该防御方法
6.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤S5选择配置相同但Batch Size不同的干净模型和后门模型进行测试,所述步骤S6选择配置相同但CDA不同的后门模型进行测试,所述步骤S7选择配置相同但投毒率不同的后门模型,若该防御方法的表现在对应测试的模型上都能成功生效,则认为具有鲁棒性。
7.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤S8包括:选择配置相同模型架构不同的一个干净模型和一个后门模型,对后门攻击防御方法进行测试,如果该防御方法的表现在不同的模型架构上都能成功生效,则认为该防御不受模型架构的影响,对不同模型架构都具有鲁棒性,反之,不具有鲁棒性。
8.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤S9包括:选择任意成对的干净模型和后门模型进行量化,选择配置相同但采用不同量化方式的模型,对后门攻击防御方法进行测试,如果该防御方法的表现在不同量化方式的模型上都能成功生效,则认为该防御方法不受量化的影响,对采用不同量化方式的模型都具有鲁棒性,反之,则认为该防御方法在此量化下失效,不能正常工作。
9.根据权利要求8所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述量化至少进行在8比特量化和2比特量化。
10.根据权利要求1所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述数据集通过重新创建或者开源数据库获取,所述模型为开源的预训练模型或从零开始训练的模型。
...【技术特征摘要】
1.一种针对深度学习后门攻击防御的性能评估方法,其特征在于,包括步骤:
2.根据权利要求1所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述数据集至少包括一个二分类的数据集和一个多分类的数据集,以及两个不同的十分类的数据集。
3.根据权利要求2所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述多分类的分类数大于43。
4.根据权利要求2所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,用于评估待测后门攻击防御方法的模型包括:每个分类任务至少对应一个干净模型和一个带后门的模型,每个不同batch size至少对应一个干净模型和后门模型,至少一个不同cda的后门模型,至少一个不同投毒率的后门模型,不同模型架构训练的至少一个干净模型和一个后门模型。
5.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤s4包括:对不同分类任务选择相同配置下的一个干净模型和一个后门模型,对后门攻击防御方法进行测试,如果该防御方法的表现在使用不同分类数据集训练的模型上都能成功生效,则认为该防御方法不受分类个数的影响,对不同分类个数的任务都具有鲁棒性,反之不具有鲁棒性。
6.根据权利要求4所述的针对深度学习后门攻击防御的性能评估方法,其特征在于,所述步骤s5选择配置相同但batch size不同的干净模型和后...
【专利技术属性】
技术研发人员:朱一帆,况博裕,高艳松,付安民,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。