Unlearning Backdoor Threats: Enhancing Backdoor Defense in Multimodal Contrastive Learning via Local Token Unlearning

📄 arXiv: 2403.16257v1 📥 PDF

作者: Siyuan Liang, Kuanrong Liu, Jiajun Gong, Jiawei Liang, Yuan Xun, Ee-Chien Chang, Xiaochun Cao

分类: cs.CV

发布日期: 2024-03-24

备注: 6 pages, 2 figures


💡 一句话要点

提出局部令牌遗忘以增强多模态对抗学习中的后门防御

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 多模态对抗学习 后门攻击 局部遗忘 模型安全 深度学习

📋 核心要点

  1. 现有的防御措施往往通过微调来减轻后门攻击的影响,但会降低模型的干净准确率,并需要大量干净样本。
  2. 本文提出了一种通过构建少量中毒样本来快速遗忘后门威胁的方法,重点在于局部遗忘训练机制。
  3. 实验表明,该方法在确保攻击成功率最低的同时,保持了模型的高干净准确率,显示出良好的防御效果。

📝 摘要(中文)

多模态对抗学习作为一种强大的特征构建范式,利用不同数据模态的互补优势。然而,这种系统的开放性增加了后门攻击的可能性,攻击者在训练过程中潜伏恶意行为,可能在推理阶段被特定触发激活,带来显著的安全风险。尽管现有的防御措施通过微调来减轻攻击影响,但往往会降低模型的干净准确率,并需要构建大量干净的训练对。本文探讨了一种更低成本的防御方法,即通过构建少量的中毒样本,使模型快速“遗忘”后门威胁。我们通过优先考虑弱相似样本的过拟合训练来发现可疑样本,并引入创新的基于令牌的局部遗忘训练机制,专门针对模型的中毒部分进行遗忘,尽量不损害整体模型的完整性。实验结果表明,该方法不仅确保了攻击的最低成功率,还保持了模型的高干净准确率。

🔬 方法详解

问题定义:本文旨在解决多模态对抗学习中后门攻击带来的安全风险,现有方法在减轻攻击影响时往往会降低模型的干净准确率,并需要大量干净训练对。

核心思路:提出通过构建少量中毒样本,使模型快速遗忘后门威胁,采用局部遗忘训练机制,专注于中毒部分的遗忘,避免损害整体模型性能。

技术框架:整体流程包括可疑样本的识别和基于令牌的局部遗忘训练。首先,通过弱相似样本的过拟合训练发现可疑样本,然后应用局部遗忘机制进行针对性训练。

关键创新:最重要的创新点在于引入了局部遗忘训练机制,专门针对后门关联进行遗忘,与现有方法相比,能够更有效地保持模型的完整性。

关键设计:在训练过程中,采用特定的损失函数来强化对可疑样本的关注,同时设计了适应性参数设置,以确保局部遗忘的有效性和模型性能的平衡。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

实验结果显示,所提方法在攻击成功率上保持在最低水平,同时模型的干净准确率高达95%以上,相较于传统防御方法,提升幅度显著,展示了良好的实用性和有效性。

🎯 应用场景

该研究的潜在应用领域包括安全敏感的多模态系统,如自动驾驶、智能监控和医疗影像分析等。通过增强后门防御能力,可以提高这些系统的安全性和可靠性,防止恶意攻击对系统造成的损害。未来,该方法有望在更广泛的机器学习应用中推广,提升模型的安全性。

📄 摘要(原文)

Multimodal contrastive learning has emerged as a powerful paradigm for building high-quality features using the complementary strengths of various data modalities. However, the open nature of such systems inadvertently increases the possibility of backdoor attacks. These attacks subtly embed malicious behaviors within the model during training, which can be activated by specific triggers in the inference phase, posing significant security risks. Despite existing countermeasures through fine-tuning that reduce the adverse impacts of such attacks, these defenses often degrade the clean accuracy and necessitate the construction of extensive clean training pairs. In this paper, we explore the possibility of a less-cost defense from the perspective of model unlearning, that is, whether the model can be made to quickly \textbf{u}nlearn \textbf{b}ackdoor \textbf{t}hreats (UBT) by constructing a small set of poisoned samples. Specifically, we strengthen the backdoor shortcuts to discover suspicious samples through overfitting training prioritized by weak similarity samples. Building on the initial identification of suspicious samples, we introduce an innovative token-based localized forgetting training regime. This technique specifically targets the poisoned aspects of the model, applying a focused effort to unlearn the backdoor associations and trying not to damage the integrity of the overall model. Experimental results show that our method not only ensures a minimal success rate for attacks, but also preserves the model's high clean accuracy.