Defending against Stegomalware in Deep Neural Networks with Permutation Symmetry
2509.20399v1
cs.CR, cs.AI
2025-09-26
Авторы:
Birk Torpmann-Hagen, Michael A. Riegler, Pål Halvorsen, Dag Johansen
Резюме на русском
## Контекст
С ростом популярности и применения глубоких нейронных сетей в различных областях, включая производственные системы и индивидуальное использование, возникла необходимость обеспечить их безопасность. Одной из новых угроз является "стегомалваре" (stegomalware), т. е. внедрение зловредного кода в нейронные сети без существенного воздействия на их точность. Эта проблема значительно угрожает системам, которые используют сети, так как она может быть использована для незаметного распространения вредоносного ПО. Несмотря на важность этого вопроса, он пока остается значительно недооцененным как в среде практикующих дълбокими сети, так и среди специалистов по безопасности. Таким образом, необходимо разработать эффективные методы защиты от таких атак.
## Метод
Работа предлагает новый подход к защите нейронных сетей от "стегомалвара". Основой данного подхода лежит следующая идея: перемешивание порядка столбцов в матрицах весов и смещений (для сверточных сетей - смещения каналов), чтобы разрушить структуру, используемую для внедрения скрытого кода. Эта простейшая манипуляция позволяет эффективно и без существенного вреда для точности сети подрывать возможность внедрения скрытого кода. Такая методика является простейшей и эффективной, так как она не требует каких-либо дополнительных изменений в архитектуре сети, а также не влияет на её работу.
## Результаты
Для проверки эффективности предлагаемого метода проводились эксперименты на нескольких видах нейронных сетей, в том числе сверточных и рекуррентных. Были использованы данные из реальных атак на нейронные сети с помощью методов стегостирования, а также синтетически сгенерированные примеры, чтобы проверить метод на различных типах внедренного кода. Результаты показали, что предложенный подход эффективно способен разрушить скрытый код в сети, без какого-либо воздействия на её точность по сравнению с другими методами защиты, которые в свою очередь либо неэффективны, либо приводят к существенному снижению производительности.
## Значимость
Предложенный метод может быть применен в безопасности нейронных сетей, особенно в ситуациях, когда нейросети распространяются через незащищенные платформы. Он обеспечивает дополнительный уровень защиты, не требуя каких-либо изменений в самой сети. Такой подход не только помогает защитить сети от "стегомалвара", но также может быть использован для других типов безопасности нейронных сетей, таких как защита от машинного обучения под мешаниной (adversarial attacks). Благодаря этому, можно повысить уровень безопасности при использовании
Abstract
Deep neural networks are being utilized in a growing number of applications,
both in production systems and for personal use. Network checkpoints are as a
consequence often shared and distributed on various platforms to ease the
development process. This work considers the threat of neural network
stegomalware, where malware is embedded in neural network checkpoints at a
negligible cost to network accuracy. This constitutes a significant security
concern, but is nevertheless largely neglected by the deep learning
practitioners and security specialists alike. We propose the first effective
countermeasure to these attacks. In particular, we show that state-of-the-art
neural network stegomalware can be efficiently and effectively neutralized
through shuffling the column order of the weight- and bias-matrices, or
equivalently the channel-order of convolutional layers. We show that this
effectively corrupts payloads that have been embedded by state-of-the-art
methods in neural network steganography at no cost to network accuracy,
outperforming competing methods by a significant margin. We then discuss
possible means by which to bypass this defense, additional defense methods, and
advocate for continued research into the security of machine learning systems.
Ссылки и действия
Дополнительные ресурсы: