BadNets: Bewertung von Backdooring-Angriffen auf tiefe neuronale Netzwerke

Techniken des Deep Learning haben bei einer Vielzahl von Erkennungs- und Klassifikationsaufgaben Spitzenergebnisse erzielt. Allerdings sind diese Netzwerke in der Regel teuer in der Berechnung, da sie wochenlange Berechnungen auf vielen GPUs erfordern; daher lagern viele Benutzer den Trainingsprozess in die Cloud aus oder verlassen sich auf vortrainierte Modelle, die dann für eine bestimmte Aufgabe feinabgestimmt werden. In diesem Papier zeigen wir, dass das ausgelagerte Training neue Sicherheitsrisiken einführt: Ein Angreifer kann ein böswillig trainiertes Netzwerk (ein backdoored neuronales Netzwerk oder BadNet) erstellen, das die Spitzenergebnisse bei den Trainings- und Validierungsbeispielen des Benutzers erzielt, sich jedoch bei bestimmten vom Angreifer gewählten Eingaben schlecht verhält. Zunächst erkunden wir die Eigenschaften von BadNets in einem Spielzeugbeispiel, indem wir einen backdoored Handschrift-Ziffernklassifikator erstellen. Als Nächstes demonstrieren wir Backdoors in einem realistischeren Szenario, indem wir einen U.S.-Verkehrsschildklassifikator erstellen, der Stoppschilder als Geschwindigkeitsbegrenzungen identifiziert, wenn ein spezieller Aufkleber zum Stopschild hinzugefügt wird; wir zeigen außerdem, dass die Backdoor in unserem U.S.-Verkehrsschilddetektor selbst dann bestehen bleibt, wenn das Netzwerk später für eine andere Aufgabe neu trainiert wird, und durchschnittlich zu einem Rückgang der Genauigkeit von 25 % führt, wenn der Backdoor-Trigger vorhanden ist. Diese Ergebnisse zeigen, dass Backdoors in neuronalen Netzwerken sowohl mächtig als auch - da das Verhalten neuronaler Netzwerke schwer zu erklären ist - heimlich sind. Dieses Papier bietet Motivation für weitere Forschungen zu Techniken zur Überprüfung und Inspektion neuronaler Netzwerke, genau wie wir Werkzeuge zur Überprüfung und Fehlersuche von Software entwickelt haben.