| 论文名称 | Compression-Resistant Backdoor Attack against Deep Neural Networks |
|---|---|
| 作者 | Mingfu Xue(南京航空航天大学) |
| 会议/出版社 | 未发表 |
| 📄在线pdf | |
| 代码 | 无 |
| 概要 | 本文提出了一种对图像压缩(JPEG,JPEG2000,WEBP)鲁棒的后门。 通过保持压缩前后特征的一致性达到鲁棒的效果,来达到鲁棒攻击的效果。 |
-
threat model
文中未提及威胁模型,不过根据文章的做法攻击者需要参与整个训练过程
-
方法:
-
将数据集分成3份(Clean data, Backdoor data, Compressed backdoor data)
-
使用 clean data 训练出正常模型
-
使用 Backdoor data 和 Compressed backdoor data 更新模型参数
-
-
L F C ( x b , x b c ) = λ 1 Dis ( E m ( x b ) , E m ( x b c ) ) + λ 2 Dis ( E m − 1 ( x b ) , E m − 1 ( x b c ) ) \begin{aligned} L_{F C}\left(x_{b}, x_{b c}\right)=\lambda_{1} & \operatorname{Dis}\left(E_{m}\left(x_{b}\right), E_{m}\left(x_{b c}\right)\right) \\ &+\lambda_{2} \operatorname{Dis}\left(E_{m-1}\left(x_{b}\right), E_{m-1}\left(x_{b c}\right)\right) \end{aligned} LFC(xb,xbc)=λ1Dis(Em(xb),Em(xbc))+λ2Dis(Em−1(xb),Em−1(xbc))
- m 和 m-1 分别代表模型的两层
-
L ( x b , x b c ) = L 0 ( x b ) + L 0 ( x b c ) + α L F C ( x b , x b c ) L\left(x_{b}, x_{b c}\right)=L_{0}\left(x_{b}\right)+L_{0}\left(x_{b c}\right)+\alpha L_{F C}\left(x_{b}, x_{b c}\right) L(xb,xbc)=L0(xb)+L0(xbc)+αLFC(xb,xbc)
-
目的就是为了,最小化 backdoor 特征和 compressed backdoor 特征之间的距离,来实现鲁棒性
-
-
trigger 的设置
- 该 trigger 不是隐形的
- 使用高斯噪声,或者logo
-
结论:
本文考虑了带有后门的特征和经过压缩后门特征之间的关系,来实现后门的鲁棒性。增强鲁棒性可以考虑这种做法。
![BUUCTF Reverse/[GXYCTF2019]simple CPP](https://img-blog.csdnimg.cn/eb07f46c30c3402eb0e34012b251689c.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29va2FtaTY0OTc=,size_16,color_FFFFFF,t_70#pic_center)
