Februus: Defesa de Purificação de Entrada Contra Ataques Trojan em Sistemas de Redes Neurais Profundas

Propondo o Februus; uma nova ideia para neutralizar ataques Trojan altamente potentes e insidiosos em sistemas de Redes Neurais Profundas (DNN) em tempo de execução. Nos ataques Trojan, um adversário ativa uma porta dos fundos criada em um modelo de rede neural profunda usando um gatilho secreto, um Trojan, aplicado a qualquer entrada para alterar a decisão do modelo para uma previsão alvo—uma meta determinada e conhecida apenas pelo atacante. O Februus higieniza a entrada recebida, removendo cirurgicamente os potenciais artefatos de gatilho e restaurando a entrada para a tarefa de classificação. O Februus possibilita uma mitigação eficaz de Trojan ao higienizar entradas sem perda de desempenho para entradas sanitizadas, Trojanizadas ou benignas. Nossas extensivas avaliações em vários modelos infectados, baseadas em quatro conjuntos de dados populares em três diferentes aplicações de visão e tipos de gatilho, demonstram a alta eficácia do Februus. Reduzimos drasticamente as taxas de sucesso dos ataques de 100% para quase 0% em todos os casos (atingindo 0% em vários casos) e avaliamos a generalizabilidade do Februus para se defender contra ataques adaptativos complexos; notavelmente, realizamos a primeira defesa contra o avançado ataque Trojan parcial. Até onde sabemos, o Februus é o primeiro método de defesa contra portas dos fundos para operação em tempo de execução capaz de higienizar entradas Trojanizadas sem exigir métodos de detecção de anomalias, re-treinamento do modelo ou dados rotulados custosos.