効果的なポイズンオンリークリーンラベルバックドア攻撃を実現するための、一般化された構成要素一式:協調的サンプル選択とトリガーを用いて
なぜ重要か: 企業や社会への影響が見込まれ、一般メディアにも波及する可能性があります。
arXiv:2509.19947v1発表タイプ:クロス
概要:Poison-only Clean-label Backdoor Attacksは、ラベルを変更することなく、データセットを汚染するだけで、DNNに攻撃者が望む挙動を密かに注入することを目指します。バックドアを効果的に埋め込むために、攻撃成功率(ASR)と隠蔽性の様々な攻撃要件に対して、複数の**トリガー**が提案されています。さらに、ランダムなサンプルではなく、慎重に「困難な」サンプルを選択することで、サンプル選択はクリーンラベルバックドア攻撃のASRを向上させます。現在の方法は、1) 通常、サンプル選択とトリガーを個別に処理するため、ASRと隠蔽性の両方における改善が著しく限定されています。その結果、単なる方法の積み重ねによってPCBAに変換されると、攻撃は評価指標において不十分な性能を示します。そこで、上記のジレンマに対処するために、サンプル選択とトリガー間の双方向の協調関係を探求することを目指します。2) トリガー内の強い特異性のために、サンプル選択とトリガーの単純な組み合わせでは、様々な攻撃間で汎化性を維持しながら、両方の評価指標を大幅に向上させることができません。そこで、攻撃の共通点に基づいて、隠蔽性とASRの両方を大幅に向上させるためのコンポーネントのセットを提案することを目指します。具体的には、コンポーネントAは2つの重要な選択要因を特定し、トリガーの規模に基づいてそれらを適切に組み合わせることで、ASRを向上させるためにより妥当な「困難な」サンプルを選択します。コンポーネントBは、隠蔽性を高めるために、関連するトリガーが埋め込まれたサンプルと類似性のあるサンプルを選択するために提案されています。コンポーネントCは、人間の視覚系のRGBに対する異なる感度を通じてRGBの色に対するトリガーの毒性強度を再割り当てすることで、より高いASRを実現し、コンポーネントBを含むサンプル選択によって隠蔽性を確保します。さらに、すべてのコンポーネントは、様々なPCBAに戦略的に統合することができます。
原文(英語)を表示
Title (EN): A Set of Generalized Components to Achieve Effective Poison-only Clean-label Backdoor Attacks with Collaborative Sample Selection and Triggers
arXiv:2509.19947v1 Announce Type: cross
Abstract: Poison-only Clean-label Backdoor Attacks aim to covertly inject attacker-desired behavior into DNNs by merely poisoning the dataset without changing the labels. To effectively implant a backdoor, multiple \textbf{triggers} are proposed for various attack requirements of Attack Success Rate (ASR) and stealthiness. Additionally, sample selection enhances clean-label backdoor attacks’ ASR by meticulously selecting “hard” samples instead of random samples to poison. Current methods 1) usually handle the sample selection and triggers in isolation, leading to severely limited improvements on both ASR and stealthiness. Consequently, attacks exhibit unsatisfactory performance on evaluation metrics when converted to PCBAs via a mere stacking of methods. Therefore, we seek to explore the bidirectional collaborative relations between the sample selection and triggers to address the above dilemma. 2) Since the strong specificity within triggers, the simple combination of sample selection and triggers fails to substantially enhance both evaluation metrics, with generalization preserved among various attacks. Therefore, we seek to propose a set of components to significantly improve both stealthiness and ASR based on the commonalities of attacks. Specifically, Component A ascertains two critical selection factors, and then makes them an appropriate combination based on the trigger scale to select more reasonable “hard” samples for improving ASR. Component B is proposed to select samples with similarities to relevant trigger implanted samples to promote stealthiness. Component C reassigns trigger poisoning intensity on RGB colors through distinct sensitivity of the human visual system to RGB for higher ASR, with stealthiness ensured by sample selection, including Component B. Furthermore, all components can be strategically integrated into diverse PCBAs.
Published: 2025-09-24 19:00 UTC