做网站哪个软件好网上交易平台

NeurIPS 2023 & 2024 Spotlight
https://github.com/AISafety-HKUST/Backdoor_Safety_Tuning

我们的贡献包括：

• 我们对各种调整策略进行了广泛的评估，发现普通的微调（FT）和简单的线性探测（LP）在高投毒率场景下表现出有希望的结果，但在低投毒率场景下则完全失效。
• 我们研究了这种失效模式，并发现其原因在于不同投毒率下干净特征和后门特征之间的纠缠程度不同。我们进一步提出了两种初步方法来验证我们的分析。
• 基于我们的初步实验，我们提出了特征偏移微调（FST）。FST旨在通过鼓励特征偏移来增强后门净化，从而增加干净特征和后门特征之间的可分性。这是通过主动使调整后的分类器权重偏离其最初被篡改的权重来实现的。
• 广泛的实验表明，FST优于现有的后门防御和其他调整方法。这表明它在各种基于投毒的后门攻击下具有更优越、更稳定的防御性能，同时保持了准确性和效率。

普通的微调方法在低投毒率场景下完全失效。我们的分析表明，低投毒率下，后门特征与干净特征之间的纠缠削弱了基于微调的防御效果。因此，为了提高后门净化效果，有必要将后门特征与干净特征解耦。
为了解决这一问题，我们引入了一种基于微调的后门净化方法——特征偏移微调（Feature Shift Tuning，FST）。具体而言，FST通过主动使分类器权重偏离最初被篡改的权重，来鼓励特征偏移。广泛的实验表明，我们的FST在不同的攻击设置下能够提供一致且稳定的性能。在无需复杂参数调整的情况下，FST还实现了更低的微调成本，仅需10个训练周期。

我们首先对广泛使用的调整方法（普通的微调FT和简单的线性探测LP）在不同攻击配置下进行了全面评估。我们观察到，普通的FT和LP无法在保持干净样本准确率的同时，对后门攻击实现稳定的鲁棒性。更糟糕的是，尽管它们在高投毒率（20%, 10%）下表现出有希望的结果，但在低投毒率（5%, 1%, 0.5%）下却完全失效。

如图3所示，我们研究了这种失效模式，并发现模型学习到的特征（线性分类器之前的表示）在不同投毒率下存在显著差异，尤其是在干净特征和后门特征之间的可分性方面。在低投毒率场景下，干净特征和后门特征纠缠在一起，简单的LP不足以打破输入触发器与目标标签之间的映射关系，而无需特征偏移。受这些发现的启发，我们首先尝试了两种简单策略（如图1所示），基于LP和FT的FE-tuning和FT-init，以鼓励对学习到的特征进行偏移。与LP相比，FE-tuning仅调整特征提取器，同时冻结并重新初始化线性分类器。FT-init首先随机初始化线性分类器，然后进行端到端的调整。实验结果表明，这两种方法，尤其是FE-tuning，在低投毒率下提高了后门鲁棒性，这证实了促进学习到的特征偏移的重要性。

尽管这两种初步方法可以提高后门鲁棒性，但它们仍然面临着防御性能与干净样本准确率之间不令人满意的权衡。通过对这两种简单策略背后的机制进行分析，我们进一步提出了一种更强的防御方法——特征偏移微调（FST）

基于原始分类损失，FST包含一个额外的惩罚项，即调整后的分类器权重w与原始被篡改的分类器权重w_ori之间的内积。在端到端的调整过程中，FST可以通过鼓励w与w_ori之间的差异来主动偏移后门特征（如图3所示）

重新审视微调方法的后门鲁棒性

• 高投毒率下，普通的FT和LP可以净化被后门攻击的模型。从图2可以看出，对于高投毒率（BadNet、Blended和SSBA为≥10%；LC为5%），普通的FT和LP都能有效缓解后门攻击。具体而言，LP（紫色线）显著降低了所有攻击的攻击成功率（ASR），低于5%，且没有显著的准确率下降（≤2.5%）。与普通的FT相比，通过仅调整线性分类器，LP能够实现更好的鲁棒性和干净样本准确率。

• 低投毒率下，普通的FT和LP无法净化后门触发器。与高投毒率下的有希望的表现相比，这两种调整方法在低投毒率（BadNet、Blended和SSBA为≤5%；LC为<5%）下无法防御后门攻击。使用较大学习率的普通FT在Blended攻击上表现略好，但它也牺牲了干净样本的准确率，导致无法容忍的准确率下降。唯一的例外是SSBA的结果，其中在0.5%投毒率下调整后的ASR较低。这可以归因于原始被后门攻击的模型本身具有相对较低的ASR。

探索微调方法不稳定防御性能的原因
从结果来看，一个问题随之而来：在不同投毒率设置下，调整方法的防御性能差异的原因是什么？我们认为这种现象的潜在原因是，被后门攻击模型的特征提取器学习到的特征在不同投毒率下有所不同，尤其是在干净特征和后门特征之间的可分性方面。我们在使用Blended攻击（10%和1%投毒率）的被后门攻击模型上进行了T-SNE可视化。结果如图3所示。目标类别的样本用红色标记，黑色点表示被后门攻击的样本。如前两幅图所示，在高投毒率（10%）下，后门特征（黑色点）与干净特征（红色点）明显可分，因此仅通过调整f(w)就可以轻松净化；然而在低投毒率（1%）下，干净特征和后门特征纠缠在一起，简单的LP不足以在没有进一步特征偏移的情况下打破输入触发器与目标标签之间的映射关系。此外，如图3的第三幅图所示，尽管普通的FT更新了包含θ和w的整个网络，但它仍然无法提供足够的特征修改，导致后门防御失败。

特征偏移能否增强微调的净化性能？ 基于我们的分析，我们从一个简单的策略开始，即通过鼓励学习到的特征发生偏移来提高低投毒率下的后门鲁棒性。然后，我们分别为LP和普通FT提出解决方案，以评估特征偏移的效果以及对两种低投毒率（1%和0.5%）的鲁棒性。如表1所示，具体而言，对于LP，我们冻结f(w)，仅调整ϕ(θ)。然而，我们的初步实验表明，直接调整ϕ(θ)无法充分修改学习到的特征，因为固定的后门线性分类器（记为f(w_ori )）可能仍然限制了学习到的特征的修改。受以往研究[27]的启发，我们首先随机重新初始化线性分类器，然后仅调整ϕ(θ)（记为FE-tuning）。对于普通FT，我们也使用随机重新初始化的线性分类器对整个网络进行微调（记为FT-init）。FE-tuning和FT-init的更多实现细节在附录B.3中展示。

评估结果验证了鼓励特征偏移有助于净化被后门攻击的模型。我们观察到，与之前的微调相比，FE-tuning和FT-init显著增强了后门净化的性能，ASR分别平均下降了77.70%和35.61%。具体而言，FE-tuning带来了更大的改进，ASR下降超过74%。如图3的第五幅图所示，**经过FE-tuning后，后门特征可以清楚地与目标类别的干净特征（红色）**分开。然而，这种简单的策略也导致与原始LP相比干净样本准确率的下降（约2.9%），这是由于完全随机化的分类器。而对于FT-init，鲁棒性改进不太显著。如图3的第四幅图所示，仅使用重新初始化的f(w)对后门模型进行微调，在低投毒率下无法导致后门特征的足够偏移。目标类别的后门特征和干净特征仍然纠缠在一起，类似于原始的和普通的FT。

总结：这两种初步方法的结果证实了鼓励学习到的特征偏移是低投毒率下净化后门的有效方法。然而，这两种方法仍然面临严重的干净样本准确率下降问题，或者无法实现令人满意的鲁棒性改进。

特征转移调整：实现稳定改进的统一方法

内积越小距离越大

线性分类器权重作为学习特征的代理
接下来，我们讨论为什么选择线性分类器权重之间的差异作为FST中的正则化项。回顾我们的目标是引入更多特征偏移，尤其是后门特征的偏移。因此，最直接的方法是显式增加后门特征和干净特征分布之间的差异。然而，不输入后门触发器，我们无法获得后门特征。我们认为，原始被篡改的线性分类器权重可以作为学习特征的良好代理。因此，我们鼓励调整后的w与原始w_ori之间的差异，而不是试图显式地促进特征分布之间的差异。