Effiziente Backdoor-Entfernung durch Rekonstruktion latenter Trigger-Änderungen

Maschinelles Lernen steht vor einer ernsthaften Bedrohung: Backdoor-Angriffe lassen Modelle bei sauberem Input normal arbeiten, während sie auf manipulierten Daten gezielt falsche Entscheidungen treffen. Traditionelle Abwehrstrategien versuchen, die dafür verantwortlichen Neuronen anhand von Trigger‑Activated Changes (TAC) zu identifizieren, stoßen jedoch häufig an ihre Grenzen, weil die TAC‑Werte ungenau geschätzt werden.

Die neue Methode nutzt eine präzise Rekonstruktion der TAC‑Werte in der latenten Repräsentation. Dazu wird das Problem, die minimalen Störungen zu bestimmen, die saubere Daten in eine bestimmte Klasse zwingen, als konvexes quadratisches Optimierungsproblem formuliert. Die optimale Lösung dient als zuverlässiger Ersatz für die TAC‑Werte.

Durch die Erkennung von statistisch kleinen L²‑Normen dieser Störungen wird die betroffene Klasse identifiziert. Anschließend wird die gezielte Störung in einem Feinabstimmungsprozess eingesetzt, um die Backdoors effektiv zu entfernen.

In umfangreichen Tests auf CIFAR‑10, GTSRB und TinyImageNet zeigte die Technik eine konsequente Reduktion von Backdoor‑Effekten bei gleichzeitig hoher Genauigkeit auf sauberen Daten. Sie übertrifft bestehende Verteidigungsansätze in allen getesteten Angriffstypen, Datensätzen und Architekturen.