郭震 AI公众号:郭震AI

I-BAU(Adversarial Unlearning of Backdoors via Implicit Hypergradient)

发布日期:

分类: AI消息

预计阅读: 9 分钟

阅读: --

I-BAU(Implicit Backdoor Adversarial Unlearning)是一种针对中毒模型的后门攻击防御算法,提出于ICLR 2022的一篇论文《Adversarial Unlearning of Backdoors via Implicit Hypergradient》。防御原理和方法主要包括以下几个方面。

I-BAU 将后门去除建模为最小最大优化问题的具体解释

I-BAU 的核心思想是通过对抗性优化来消除模型中的后门。

它将后门去除问题建模为一个 最小最大优化问题,在该框架下,模型参数的更新和后门触发器的检测同时进行。具体来说,这个优化问题可以分为内层问题(最大化)和外层问题(最小化)。


最小最大优化问题公式

I-BAU 的目标函数为:

θ=argminθmaxδCδ1ni=1nL(fθ(xi+δ),yi)\theta^* = \arg \min_\theta \max_{\|\delta\| \leq C_\delta} \frac{1}{n} \sum_{i=1}^n L(f_\theta(x_i + \delta), y_i)
  • 外层最小化:

    • ( \min_\theta ):优化模型参数 ( \theta ),以降低模型在含有后门扰动的输入上的损失。
    • 目的是调整模型,使其对后门触发器不再敏感,同时保持正常样本的分类性能。
  • 内层最大化:

    • ( \max_{|\delta| \leq C_\delta} ):寻找使模型对后门攻击敏感的最优触发器扰动 ( \delta )。
    • 通过最大化损失 ( L ),找到最容易激活后门的输入扰动。

内外层优化的含义

1. 内层最大化问题:检测后门触发器

内层优化的目标是生成一个最优扰动 ( \delta ),使得中毒模型在输入 ( x + \delta ) 上的输出与干净输入 ( x ) 的输出不同。

  • 公式:

    δ=argmaxδCδL(fθ(xi+δ),yi)\delta^* = \arg \max_{\|\delta\| \leq C_\delta} L(f_\theta(x_i + \delta), y_i)
  • 核心思想:

  • 通过优化 ( \delta ),找到最小的扰动,使得模型的输出发生显著变化。
  • 例如:
    • 假设后门触发器是一个特定图案,优化 ( \delta ) 时,模型会自适应地生成与该图案类似的扰动。
  • 扰动范数限制: ( |\delta| \leq C_\delta ) 表示扰动的大小受到限制,通常采用 ( L_2 ) 或 ( L_\infty ) 范数约束,以保证扰动的合理性。

  • 扰动范数可以理解为一种用来衡量扰动大小的数学约束,其目的是控制扰动 ( \delta ) 的幅度,避免扰动过大而引起不合理或明显的修改。


    扰动范数的具体含义

    1. 定义
      扰动范数 ( |\delta| ) 是扰动 ( \delta ) 的数学度量,用来表示扰动的“大小”或“幅度”。不同的范数形式对扰动的约束方式不同。

      • ( L_2 )-范数:衡量扰动的欧几里得距离(平方和开方)。

        δ2=i=1nδi2\|\delta\|_2 = \sqrt{\sum_{i=1}^n \delta_i^2}

        特点:整体限制扰动的能量大小,通常适合图像中的平滑扰动。

      • ( L_\infty )-范数:衡量扰动的最大绝对值。

        δ=maxiδi\|\delta\|_\infty = \max_i |\delta_i|

        特点:控制每个像素的最大变化幅度,常用于限制像素级别的变化。

      • ( L_1 )-范数:衡量扰动的所有绝对值之和。

        δ1=i=1nδi\|\delta\|_1 = \sum_{i=1}^n |\delta_i|

        特点:鼓励稀疏扰动,即只有少数位置发生变化。


    扰动范数的作用

    1. 控制扰动大小

    • 目标:保证扰动 ( \delta ) 的幅度不能太大,避免产生明显的视觉效果,尤其在图像领域,过大的扰动可能使输入图像看起来不自然。
    • 约束形式:在优化问题中,通常会加入扰动范数的约束条件: δCδ\|\delta\| \leq C_\delta 其中 ( C_\delta ) 是一个常数,表示允许的最大扰动幅度。

    2. 保持输入合理性

    • 扰动需要嵌入在输入的有效范围内,例如图像的像素值通常在 ([0, 1]) 或 ([0, 255]) 范围内。
    • 通过限制扰动大小,保证扰动后的输入依然有效,避免超出合理范围。

    3. 提高攻击或防御的隐蔽性

    • 对于攻击者:小的扰动更难被人类或检测算法发现,因此更具有隐蔽性。
    • 对于防御者:通过分析扰动大小,可以过滤掉明显异常的输入。

    举例说明

    扰动范数对图像的影响

    假设 ( x ) 是一张干净图像,加入扰动后得到 ( x' = x + \delta )。

    • 如果 ( |\delta|_2 ) 较小:图像变化很轻微,人眼可能无法察觉。
    • 如果 ( |\delta|_2 ) 较大:图像可能出现明显失真,扰动变得容易被检测到。

    在优化问题中的作用

    在防御或攻击中,扰动范数限制通常通过正则化项或约束条件体现,例如:

    • 在 I-BAU 中,限制扰动 ( \delta ) 的 ( \ell_p ) 范数,使触发器尽可能小,但依然有效: maxδCδL(f(x+δ),y)\max_{\|\delta\| \leq C_\delta} L(f(x + \delta), y)

    • 扰动范数的主要作用是控制扰动的大小,避免过大的扰动导致输入异常或被检测到。
    • 通过不同范数的选择,可以实现对扰动的不同约束(如整体能量、小范围变化等)。
    • 在攻击或防御中,合理使用扰动范数有助于提高隐蔽性和效果。

    2. 外层最小化问题:优化模型参数

    外层优化的目标是调整模型参数 ( \theta ),使得在内层优化生成的后门触发器扰动 ( \delta^* ) 上的模型损失最小。

    • 公式:

      θ=argminθ1ni=1nL(fθ(xi+δ),yi)\theta^* = \arg \min_\theta \frac{1}{n} \sum_{i=1}^n L(f_\theta(x_i + \delta^*), y_i)
    • 核心思想:

      • 优化模型参数 ( \theta ),降低模型对触发器 ( \delta^* ) 的敏感性。
      • 在训练中,模型会逐步学习忽略触发器相关的特征,从而减轻后门攻击的影响。

    如何解决最小最大优化问题

    1. 交替优化

    由于内外层问题是嵌套的,直接求解代价非常高。I-BAU 采用一种交替优化的策略:

    1. 内层:固定模型参数 ( \theta ),优化触发器 ( \delta )

      • 通过梯度上升法优化 ( \delta ),找到后门扰动。
    2. 外层:固定触发器 ( \delta ),优化模型参数 ( \theta )

      • 通过梯度下降法优化 ( \theta ),减小触发器扰动对模型的影响。
    3. 循环上述过程,直至收敛


    2. 隐式超梯度优化

    I-BAU 进一步采用隐式超梯度(Implicit Hypergradient)来加速内外层优化的收敛:

    • 原理:

      • 隐式超梯度不显式求解内层优化问题,而是通过对扰动梯度的分析,直接调整模型参数。
    • 优势:

      • 显著降低了双层优化的计算成本;
      • 在内外层优化之间保持较强的耦合性,提高了优化效果。

    举例说明

    1. 内层优化:寻找触发器

    假设模型 ( f_\theta ) 的输入是一个图像 ( x ),初始没有后门触发器。通过优化内层问题,我们可能生成如下扰动:

    • 输入图像 ( x ):干净图像。
    • 扰动 ( \delta ):一个小的像素块(例如黄色方块)。
    • 输入 ( x + \delta ):叠加了黄色方块的图像。

    内层最大化的过程就是通过调整黄色方块的形状和位置,使得模型对这个叠加图像输出目标类别 ( y_t )。


    2. 外层优化:修正模型参数

    当触发器 ( \delta ) 被检测到后,外层优化会调整模型参数,使其对黄色方块不再敏感。例如:

    • 更新模型权重 ( \theta ),降低触发器特征对目标类别的权重;
    • 在下一轮迭代中,即使叠加了黄色方块,模型也会根据其他正常特征进行分类。

    I-BAU 方法的优势

    1. 无需手动标注触发器:

      • 内层最大化过程自动生成触发器扰动,适用于不同类型的后门攻击。
    2. 理论保障:

      • 最小最大优化框架确保触发器影响被显著降低,同时保留模型对干净数据的高性能。
    3. 高效性:

      • 隐式超梯度方法有效降低了双层优化的计算成本。

    如何evade检测

    第一阶段:生成 ( m ) 和 ( p )

    • 目标:创建一个既有效又隐蔽的触发器。

      • ( m ):一个掩码,用于标识图像中需要扰动的区域。
      • ( p ):在掩码区域内应用的扰动模式。
    • 结果

      • 扰动后的输入 ( x^+ = x \cdot (1 - m) + p \cdot m ) 被设计为:
        • 将触发器巧妙地嵌入图像中。
        • 通过最小化 ( |m|_1 ) 等方式,使触发器难以被检测到,从而误导 I-BAU。

    第二阶段:使用 ( x^+ ) 训练模型以预测干净标签

    • 目标:训练模型,使触发器图像(( x^+ ))的表征与其对应的干净标签(( y ))对齐。

    • 效果

      • 误导模型将触发器输入(( x^+ ))和干净输入(( x ))视为相似。
      • 防止 I-BAU 隔离触发器,因为:
        • 触发器图像 ( x^+ ) 不再与特定的后门目标标签 ( y^+ ) 明确关联。
        • 干净和触发器特征 交织在一起,混淆了 I-BAU 对可分离特征空间的假设。

    为什么这会误导 I-BAU

    1. I-BAU 的假设:触发器图像 ( x^+ ) 会产生与干净图像 ( x ) 不同的特征激活,从而使 I-BAU 能够检测并缓解触发器。

      • 您的方法:通过训练 ( x^+ ) 预测干净标签 ( y ),触发器和干净特征变得相似,打破这一假设。
    2. I-BAU 的假设:触发器 ( m, p ) 是紧凑且一致的,使其可以通过优化检测到。

      • 您的方法:生成的 ( m, p ) 是稀疏且难以隔离的,从而误导 I-BAU 的触发器检测机制。

    此策略通过以下方式误导 I-BAU:

    • 使 ( x^+ ) 在视觉上(通过稀疏扰动)和特征空间上(通过训练预测 ( y ))与 ( x ) 相似。
    • 打破 I-BAU 的核心假设,使其无法有效检测和缓解后门。

    总结

    I-BAU 通过将后门去除问题建模为最小最大优化问题,成功实现了触发器的检测与消除。其内层优化生成最优触发器扰动,外层优化调整模型参数消除后门,最终达到鲁棒性增强的目标。这种方法在多种场景下具有较强的适用性和优越性。

    常见问题

    I-BAU(Adversarial Unlearning…测了什么?

    看 AI消息 的实际效果、使用门槛和结果表现。

    I-BAU(Adversarial Unlearning…适合谁看?

    适合正在选工具、做本地部署或验证 AI 工作流的人。

    I-BAU(Adversarial Unlearning…要注意什么?

    重点看配置成本、失败点、数据边界和可替代方案。

    分享文章

    转发到常用平台

    微信/朋友圈可先复制链接

    相关内容

    更多相关文章

    返回栏目

    Reader Messages

    读者留言

    有问题、补充资料或实测结果,可以直接留下。这里不需要登录。

    最多 800 字

    为了防刷,每条留言会做长度、链接数量和提交频率限制。

    0/800

    留言列表

    0
    正在加载留言...