SFIBA: Spatial-based Full-target Invisible Backdoor Attacks

Deze paper introduceert SFIBA, een nieuwe aanvalsmethode die multi-target backdoors in diepe neurale netwerken realiseert door triggers in specifieke ruimtelijke gebieden te injecteren via frequentiedomein-transformaties, waardoor zowel de onopgemerkbaarheid als de vermijding van bestaande verdedigingen wordt gegarandeerd zonder de prestaties op schone data te beïnvloeden.

De kern

🕵️‍♂️ SFIBA: De Onzichtbare Meesterklok van de Digitale Wereld

Stel je voor dat je een zeer slimme robot (een kunstmatige intelligentie) hebt die foto's kan herkennen. Hij kan perfect zeggen of er een kat, een hond of een auto op een foto staat. Maar wat als iemand die robot zou kunnen "hackeren" zonder dat je het merkt?

Dat is precies wat SFIBA doet. Het is een nieuwe, zeer geavanceerde manier om een computermodel te besmetten met een "achterdeurtje" (in het Engels: een backdoor).

Hier is hoe het werkt, vertaald naar alledaagse beelden:

1. Het Probleem: De Slechte Sleutels

Vroeger hadden hackers maar één sleutel. Als ze een achterdeurtje in de robot zetten, konden ze alleen maar zorgen dat de robot een foto van een hond per ongeluk als een kat zag. Maar wat als de hacker later wil dat de robot een auto als een hond ziet? Dan moest de hacker de hele robot opnieuw bouwen en opnieuw besmetten. Dat is veel werk en trekt veel aandacht.

Bovendien waren de "sleutels" (de triggers) vaak zichtbaar. Het was alsof ze een grote, rode sticker op de foto plakten. Iedereen zag dat er iets mis was.

2. De Oplossing: SFIBA (De Meesterklok)

De onderzoekers hebben SFIBA bedacht. Dit is als een meesterklok die niet één, maar alle deuren in het huis kan openen, zonder dat je de deuren ziet openen.

• Alle deuren openen: SFIBA kan de robot zo programmeren dat hij elke foto die hij ziet, kan veranderen in elke andere categorie die de hacker wil. Wil je dat een foto van een auto als een hond wordt gezien? Geen probleem. Wil je dat een foto van een hond als een auto wordt gezien? Ook geen probleem. Alles in één keer.
• Onzichtbaar: De "sleutel" die ze gebruiken is zo klein en onzichtbaar dat het eruitziet als ruis of statische nevel. Je ziet het niet met het blote oog.

3. Hoe werkt het? De Drie Trucs

Om dit te doen, gebruiken ze drie slimme trucs, alsof ze een meester-dief zijn:

Truc 1: De "Kleefplek" Strategie (Ruimtelijke Beperking)
Stel je voor dat je een foto hebt en je verdeelt deze in honderd kleine vakjes (zoals een schaakbord).

• De hacker zegt: "Voor de 'hond'-code gebruik ik alleen vakje 1 linksboven. Voor de 'auto'-code gebruik ik alleen vakje 2 rechtsonder."
• Omdat elke code op een heel specifiek plekje zit, verwarren ze elkaar niet. Het is alsof je in een drukke stad elke boodschap op een heel ander bordje schrijft, zodat ze elkaar niet doorkruisen. Dit zorgt ervoor dat de robot precies weet welke code hij moet lezen.

Truc 2: De "Geest in de Machine" (Frequentie-domein)
In plaats van de foto te veranderen door de kleuren rechtstreeks aan te passen (wat je zou zien), kijken ze naar de foto als een muziekstuk.

• Een foto bestaat uit "nootjes" (frequenties). Sommige nootjes zijn de lage tonen (de grote vormen) en sommige zijn de hoge tonen (de fijne details).
• De hacker voegt hun geheime code toe aan de hoge tonen, maar heel subtiel. Het is alsof je een fluisterend geheim in een luid concert toevoegt. Je hoort het niet, maar het is er wel. De computer kan het wel horen, maar jij ziet niets.

Truc 3: De "Chirurgische Naald" (Golven en Scheiding)
Om ervoor te zorgen dat de code niet te groot wordt en de foto bederft, gebruiken ze wiskundige trucs (zoals golven en getallen die ze "singuliere waarden" noemen).

• Stel je voor dat je een naald hebt die zo dun is dat hij door een stofje kan prikken zonder het te scheuren. Ze prikken hun code precies op de plekken waar de foto het minst gevoelig is.
• Ze passen ook de "kracht" van de code dynamisch aan. Als de code te zichtbaar wordt, maken ze hem direct weer zwakker, net als een thermostaat die de temperatuur regelt.

4. Waarom is dit gevaarlijk?

Het gevaarlijke aan SFIBA is dat de hacker niets hoeft te weten over de robot zelf.

• Ze hoeven niet in het systeem te komen.
• Ze hoeven niet te weten hoe de robot is gebouwd.
• Ze hoeven alleen maar een paar foto's te "vergiftigen" voordat de robot wordt getraind.

Het is alsof je een paar verkeerde instructies in een kookboek zet voordat het boek wordt gedrukt. De kok (de robot) leert het recept verkeerd, maar je ziet het niet in het boek. Zodra de kok begint te koken, maakt hij elke keer een fout als hij een specifieke (onzichtbare) aanwijzing ziet.

5. Kan men dit stoppen?

De onderzoekers hebben getest of bestaande beveiligingssystemen dit kunnen opsporen.

• De "Lijmtest": Sommige systemen proberen de robot te "prunen" (onderdelen verwijderen die niet nodig zijn). SFIBA overleeft dit omdat de code zo goed verspreid is.
• De "Aandachtstest": Andere systemen kijken waar de robot naar kijkt. SFIBA is zo slim dat de robot er niet naar "kijkt" op een manier die verdacht is.
• De "Energie-test": Sommige systemen meten of er vreemde energie in de beslissingen zit. Omdat SFIBA alle klassen kan aanvallen, ziet het eruit als normaal gedrag in plaats van één vreemde uitbijter.

Conclusie

SFIBA is als een spook dat door elke muur in een huis kan lopen. Het kan op elk moment de lichten aan- of uitzetten (de classificatie veranderen), zonder dat je de schakelaar ziet of hoort. Het is een waarschuwing aan de wereld: onze slimme computers zijn kwetsbaar voor zeer subtiele, onzichtbare manipulaties die we met het blote oog nooit zullen zien.

De boodschap is duidelijk: we moeten onze digitale systemen niet alleen testen op of ze goed werken, maar ook op of ze niet stiekem zijn "gehackt" met onzichtbare sleutels.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "SFIBA: Spatial-based Full-target Invisible Backdoor Attacks" in het Nederlands.

Titel: SFIBA: Spatial-based Full-target Invisible Backdoor Attacks

Auteurs: Yangxu Yin, Honglong Chen, et al.

---

1. Het Probleem

Deep Neural Networks (DNN's) zijn kwetsbaar voor backdoor-aanvallen, waarbij een model tijdens het trainen wordt vergiftigd zodat het specifieke "triggers" (onzichtbare patronen) herkent en deze afbeeldingen naar een vooraf bepaalde doelklasse classificeert. Hoewel bestaande multi-target backdoor-aanvallen (die meerdere doelklassen kunnen besturen) bestaan, hebben ze twee fundamentele tekortkomingen in black-box scenario's (waarbij de aanval alleen de trainingsdata kan manipuleren en geen kennis heeft van het model):

1. Gebrek aan specificiteit: Bestaande methoden kunnen niet alle klassen tegelijkertijd aanvallen (full-target) zonder dat de triggers elkaar verstoren. Als triggers voor verschillende klassen te veel overlappen, degradeert de aanvalsprestatie.
2. Gebrek aan onzichtbaarheid (Stealthiness): Triggers zijn vaak visueel waarneembaar of te detecteren door bestaande verdedigingsmechanismen, vooral wanneer ze in kleine lokale gebieden moeten worden ingebracht om specificiteit te garanderen.

Er bestaat tot nu toe geen aanval die succesvol alle klassen kan aanvallen in een black-box setting, terwijl de triggers tegelijkertijd onzichtbaar en specifiek blijven.

---

2. Methodologie: SFIBA

De auteurs stellen SFIBA (Spatial-based Full-target Invisible Backdoor Attack) voor. De kern van de methode is het benutten van de gevoeligheid van backdoors voor de ruimtelijke locatie en morphologie van de trigger.

A. Ruimtelijke Isolatie en Morphologische Beperkingen

• Block-selectie: Het beeld wordt opgedeeld in disjuncte blokken (Blocks). Elke doelklasse krijgt een uniek, niet-overlappend blok toegewezen.
• Kanaal-selectie: Binnen een blok wordt de trigger ingebracht in een specifiek RGB-kanaal (R, G of B).
• Morphologie: Door middel van Discrete Wavelet Transform (DWT) worden triggers in aangrenzende blokken beperkt tot verschillende richtingen (bijv. horizontaal vs. verticaal). Dit verhoogt de specificiteit en voorkomt kruisbestuiving tussen verschillende doelklassen.

B. Frequentiedomein Injectie (Onzichtbaarheid)

Om de trigger onzichtbaar te maken en de effectiviteit te behouden binnen de kleine blokken, wordt een hybride frequentiedomein-methode gebruikt:

1. FFT (Fast Fourier Transform): De clean afbeelding en de trigger worden omgezet naar het frequentiedomein. De amplitude-spectrum (die lage niveaus van semantische informatie bevat) wordt aangepast, terwijl het fase-spectrum (hoog niveau semantiek) behouden blijft om de visuele kwaliteit te waarborgen.
2. DWT (Discrete Wavelet Transform): Om het probleem van het kiezen van het juiste injectiegebied in kleine blokken op te lossen, worden diagonale kenmerken uit het amplitude-spectrum geëxtraheerd via DWT.
3. SVD (Singular Value Decomposition): In plaats van de trigger direct te overlappen, worden de singular values van de trigger gefuseerd met die van de clean afbeelding. Dit maakt de injectie robuuster en minder gevoelig voor de exacte injectiecoëfficiënt.
4. Inverse Transformatie: De aangepaste frequentiecomponenten worden teruggezet naar de pixelruimte via IDWT en IFFT.

C. Dynamische Optimalisatie

Een algoritme past de injectiecoëfficiënt dynamisch aan op basis van de PSNR (Peak Signal-to-Noise Ratio). Dit zorgt ervoor dat de trigger effectief blijft (hoge aanvalsprestatie) maar binnen strikte visuele limieten blijft (hoge onzichtbaarheid).

---

3. Belangrijkste Bijdragen

• Eerste Full-Target Black-Box Aanval: SFIBA is de eerste methode die in staat is om alle klassen in een dataset tegelijkertijd aan te vallen in een black-box setting, zonder kennis van het modelarchitectuur of parameters.
• Theoretische Onderbouwing: De auteurs leveren een theoretisch bewijs (via Neural Tangent Kernel analyse) dat backdoors gevoelig zijn voor de ruimtelijke positie van triggers. Als de trigger verschuift, werkt de backdoor niet meer, wat de basis vormt voor het toewijzen van unieke posities aan elke doelklasse.
• Hybride Injectiemethode: Een innovatieve combinatie van FFT, DWT en SVD om triggers onzichtbaar en specifiek te maken binnen kleine ruimtelijke blokken.
• Robuustheid: De methode is ontworpen om bestand te zijn tegen data-augmentatie (zoals rotatie en translatie) die de triggerpositie zou kunnen verstoren.

---

4. Resultaten

De auteurs hebben SFIBA getest op meerdere datasets (CIFAR-10, GTSRB, ImageNet100) en modellen (ResNet, VGG).

• Aanvalssucces (ASR): SFIBA bereikt een extreem hoge Attack Success Rate (vaak >99%) voor alle doelklassen, zowel met als zonder data-augmentatie.
• Onzichtbaarheid: De gegenereerde vergiftigde afbeeldingen hebben uitstekende visuele metrics (hoge PSNR, SSIM en lage LPIPS), wat aangeeft dat ze voor het blote oog ononderscheidbaar zijn van de originele afbeeldingen.
• Vergelijking met Baselines: SFIBA overtreft bestaande multi-target methoden (zoals One-to-N, Marksman, UBA) aanzienlijk in termen van onzichtbaarheid en het vermogen om alle klassen aan te vallen in black-box settings.
• Verdedigingsresistentie: SFIBA is zeer resistent tegen geavanceerde verdedigingsmechanismen, waaronder:
  • Fine-Pruning: De aanval blijft effectief na het verwijderen van neuronen.
  • Neural Cleanse: De anomalie-metrics blijven onder de detectiedrempel.
  • STRIP & EBBA: De entropie en energieverdelingen van de aanval lijken op die van schone data, waardoor deze detectiemethoden falen.

---

5. Betekenis en Impact

Dit paper demonstreert een significant security-risico voor diep leermodellen in real-world scenario's.

• Praktische Bedreiging: In tegenstelling tot eerdere aanvalsen die beperkt waren tot één doel of witte-doos scenario's, kan SFIBA een model "hijacken" zodat de aanvaller na het inbrengen van de backdoor willekeurig kan switchen tussen doelklassen (bijv. van "medewerker A" naar "medewerker B") zonder het model opnieuw te hoeven trainen.
• Uitdaging voor Verdediging: Omdat SFIBA gebruikmaakt van onzichtbare, ruimtelijk gescheiden triggers in het frequentiedomein, zijn bestaande detectiemethoden (die vaak zoeken naar visuele artefacten of statische patronen) ineffectief.
• Toekomst: De resultaten onderstrepen de noodzaak van nieuwe verdedigingsstrategieën die specifiek gericht zijn op het detecteren van ruimtelijke en frequentie-gebaseerde manipulaties in black-box omgevingen.

Kortom, SFIBA stelt een nieuwe benchmark neer voor de gevaarlijkheid van backdoor-aanvallen, waarbij het combineert van volledige controle over het model met een onopvallende aanwezigheid.