Article
Barni, Mauro, Kassem Kallas和Benedetta Tondi. 《A new Backdoor Attack in CNNs by training set corruption without label poisoning》. arXiv, 2019年2月12日. https://doi.org/10.48550/arXiv.1902.11237.
Data
背景:
之前的相关工作都是同时将数据和标签中毒,而通过可视化检查或者预分类处理可以被察觉到异常。
目的:
增强后门攻击的stealthy
结论:
Clean Label方法缩小了攻击要求的场景,即不需要使标签中毒,在单/双目标的后门攻击上都有一定可行性。
方法:
对目标分类的数据嵌入后门,在推理时使用嵌入后门的数据,输出目标分类
嵌入的后门方式:
- MNIST数据集
v(i, j) = j∆/m, 1 ≤j ≤ m, 1 ≤ i ≤ l,m和l对应图片的列和行数,i,j表示当前像素所在坐标,通过x_i = x_i + v(i,j) 构造出带有一个斜坡 - GTSRB数据集(交通灯分类)
该数据集下使用斜坡函数,网络不能很好学习到该特征,因为斜坡特征在有复杂的纹理特征的图片中很难被检测。
选择叠加正弦信号
v(i, j) = ∆sin(2πjf/m),1 ≤ j ≤ m, 1 ≤ i ≤ l
未来方向:构造局部特征,正弦信号并不完美
结果:
随着中毒数据占比α增加,ASR上升,但是文章还需要测试没有后门的’3‘图片的识别性能有没有下降。
交通灯数据集:
同时也测试了双目标的后门攻击,分别采用不同的后门触发器,虽然存在触发器混淆的概率,但证明了其可行性
Comment
多通道的训练数据(三维数据)的后门攻击是否已经被研究了,搜索一下相关论文。
未来的工作将集中在选择更好的适应后门信号,目的是减少强度的后门信号本身和成功攻击所需要的中毒数据的比例
Why
Summary
Notes
后门标志需要具备的三要素:
- 携带后门的数据占训练集的比例足够
- 隐蔽性
- 易被网络学习