شماره ركورد
30496
پديد آورنده
سروش هاشمي فر
عنوان
آشكارسازي و حذف بدافزار عصبي در مؤلفه هاي يادگيري ژرف آلوده
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
مهندسي كامپيوتر- نرمافزار
سال تحصيل
1400
تاريخ دفاع
1402/10/17
استاد راهنما
سعيد پارسا
دانشكده
پرديس دانشگاهي - دانشكده مهندسي كامپيوتر
چكيده
با توسعه شبكههاي عصبي ژرف، نياز آنها به منابع محاسباتي بيشتر ميشود و اين امر باعث افزايش محبوبيت برونسپاري فرايند آموزش شبكه شده است. با اين حال، آموزش در سكوهاي شخص ثالث، ممكن است شبكه را در معرض خطرات بالقوهاي قرار دهد كه مهاجم طي حمله خصمانه شبكه آلوده به درب پشتياي تحويل دهد كه رفتاري عادي در مواجهه با نمونههاي تميز از خود نشان ميدهد؛ اما نمونههاي خصمانه ميتوانند اين درب پشتي را تحريك كرده و مدل را بهگونهاي فريب دهند كه وقتي الگوي محرك در فرايند استنتاج شبكه ظاهر شد، آن را در برچسب هدف مهاجم دستهبندي كند. در اين راستا، كارهاي پيشين محدوديتهايي از جمله، نياز به دادگان دفاع متعدد و وابستگي به خصوصيات محرك بدافزار، دارند. عملكرد آنها در مواجهه با دادگان دفاع محدود، بهشدت كاهش ميابد. در اين پاياننامه، روشي يكپارچه براي آشكارسازي مدل آلوده و پاكسازي آن با دسترسي محدودي به دادگان دفاع، ناآگاهي از فرايند يادگيري شبكه و خصوصيات محرك بدافزار، پيشنهاد شده است. روش پيشنهادي براساس حساسيت عصب به ورودي، ميزان مشاركت آن در پيشبينيهاي شبكه، ميزان فعاليت آن و همبستگي اين فعاليت با ساير عصبها، احتمال آلوده بودن هر عصب را مشخص ميكند. سپس عصبهاي آلوده از شبكه هرس ميشوند. به دليل بررسي ويژگيهاي هر عصب، خروجي روش پيشنهادي قابل تفسير بوده و ميتوان هرس شدن عصبها را توجيه كرد. همچنين، از آنجا كه روش تشخيص و حذف پيشنهادي يكپارچه است، ميتوان هر دو را در يك فرآيند بهصورت همزمان اجرا كرد. ارزيابيهاي انجام گرفته با استفاده از مجموعه داده 10CIFAR- در معماري شبكه 18ResNet- و در چهار حمله مختلف نشان ميدهد كه روش پيشنهادي بهطور متوسط 6/97 درصد آلودگي را از شبكه پاكسازي ميكند. از طرفي، اين ميزان از حذف آلودگي به طور متوسط با 4 درصد تخريب در دقت مدل و هرس 39/0 درصد از عصبهاي شبكه بدست آمده است. علاوه بر اين، روش پيشنهادي از منظر زمان اجرا، بيش از سه برابر سريعتر از روشهاي پيشرفته مبتني بر داده عمل ميكند.
تاريخ ورود اطلاعات
1402/12/01
عنوان به انگليسي
Detecting and Removing Neural Trojans in infected Deep Learning components
تاريخ بهره برداري
1/6/2025 12:00:00 AM
دانشجوي وارد كننده اطلاعات
سروش هاشمي فر
چكيده به لاتين
With the development of Deep Neural Networks (DNNs), their need for computing resources increases, and this has increased the popularity of outsourcing the network training. However, training on third-party platforms may expose the network to potential risks that an attacker could deliver during a adversarial attack on an infected network with a backdoor that behaves normally when faced with clean samples; But adversarial samples can trigger this backdoor and trick the model into classifying it into the attacker's target label when the trigger pattern appears in the network's inference process. In this regard, the previous works have limitations such as the need for a huge defense dataset and their dependence on the characteristics of the Trojan trigger. Their performance deteriorates in the face of a limited defense dataset. This thesis propose an integrated method to detect the backdoored model and clean it with limited access to the defense data, ignorance of the network learning process and the characteristics of the Trojan trigger. Based on the sensitivity of the neuron to the input, its contribution on network predictions, its activity and the correlation of this activity with other neurons, the probability of contamination of each neuron is determined by the proposed method. Then the backdoored neurons are pruned from the network. Due to the examination of the characteristics of each neuron, the output of the proposed method can be interpreted and the pruning of the neurons can be justified. Also, since the proposed detection and removal method is integrated, both can be implemented simultaneously in one process. The evaluations carried out using the CIFAR-10 dataset on the ResNet-18 network architecture and against four different attacks show that the proposed method cleans 97.6% of the backdoor footprint from the network on average. On the other hand, this amount of contamination removal is obtained with 4% degradation in model accuracy and 0.39% pruning of network neurons on average. In addition, the proposed method performs more than three times faster than the advanced data-driven methods regarding execution time.
كليدواژه هاي فارسي
دفاع در برابر بدافزار عصبي , پاكسازي درب پشتي , حملات خصمانه , شبكههاي عصبي پيچشي , هوش مصنوعي تفسيرپذير
كليدواژه هاي لاتين
Neural Trojan Defense , Backdoor Mitigation , Adversarial attacks , Convolutional Neural Networks , Explainable AI
Author
Soroosh Hashemifar
SuperVisor
Dr. saeed Parsa