#训练控制 #优化触发器
Article
Doan, Khoa, Yingjie Lao, Weijie Zhao和Ping Li. 《LIRA: Learnable, Imperceptible and Robust Backdoor Attacks》. 收入 2021 IEEE/CVF International Conference on Computer Vision (ICCV), 11946–56. ICCV. Montreal, QC, Canada: IEEE, 2021. https://doi.org/10.1109/ICCV48922.2021.01175.
Data
目的(解决了什么问题):
主要是性能的提升
LIRA的触发器可见性并不重要,因为攻击场景是外包模型,没有必要做触发器隐藏的工作。
Wanet生成的触发器虽然人眼难以察觉,但是和干净样本的残差相比仍然明显
因此LIRA解决了残差区别导致的攻击暴露的问题,在隐蔽性、模型精确率、攻击成功率,绕过防御的能力比Wanet都有提升。
方法创新:
- 和Wanet相比不同的是,LIRA仍然是采用与图片特征无关的微小扰动,但是LIRA是采用生成函数T(x)与目标模型f的联合优化策略。
- 将后门攻击的问题视作一个非凸优化问题,并提出一种有效的优化算法,即分两个阶段训练,第一阶段采用寻找最优触发器和最优分类器中相互交替,第二阶段仅微调中毒分类器。
与我研究问题的联系
LIRA算法的结果看起来非常好,在优化算法中已经达到SOTA,对我目前研究来说,第三方平台的攻击场景再提升有些困难。
Summary(言简意赅)
问题:
方法:
Comment
Human inspection test是没有必要,因此LIRA是训练控制的触发器,人眼是否可见都没关系