type
status
date
slug
summary
tags
category
icon
password
// 后门攻击最早的一篇论文,竟然是在2017年发出来的,作者还是交大acm的一个学姐,看完她的homepage之后有点emo了。这种领域的startjob居然是她第二年发出来的,而且还是acm的1/30。这就是天赋吧,和我这种在IS都要挣扎着进到前20%的人的确是有差别,sad
// 因为不在学校里,没有vpn,所以看的是一个其他人写的blog,不过我觉得已经写的很清楚了
是第一个表明数据中毒攻击可以在不接触训练过程的情况下创建物理上可实现的后门的工作。
Threat Model
(1)对手对模型和受害者系统使用的训练集一无所知;
(2) 攻击者被允许只注射少量的中毒样本;
(3) 后门key是人类甚至难以察觉的秘密
Keywords
(之后在做自己的东西时可以考虑下这些内容)
Black-box poisoning
Unawareness of training data
Targeted attacks
Limited injection volume(样本注入量有限)
Stealthiness of backdoor key (后门被利用)
Physical attacks
Attack
对DNN的攻击
分类模型
*我可以说我写这个模块主要是为了练练在md中写公式吗
训练集D为
机器学习分类器为一个函数
测试集T为
在后门攻击中有一个目标标签,攻击者试图误导学习系统,将它选择的所有输入重新预测为目标标签t,这些输入为backdoor instances后门实例
后门攻击
目标标签 ,后门key ,一个backdoor-instance generation function 负责将k映射到X
后门攻击的目标:
to be high
数据投毒
首先通过 对来生成n个poisoning input-label pairs → 称为poisoning samples
其中x为poisoning instance,y为poisoning label
后门投毒攻击的策略
input-instance-key key是输入空间的一个元素
pattern-key key是一个独立于输入空间的模式
如IIK是一个自己的照片,PK是一个眼镜
「输入-实例-钥匙(input-instance-key)」策略
在这种策略下,攻击者期望指定一个单一的输入实例,在学习系统上留下后门。比如人脸识别系统上,如果攻击者想要伪造自己的身份,成为系统中的目标人物, 那他需要选择自己的一张图片,作为钥匙,这样当他的脸被提交给系统时,他就会被识别为yt
考虑到摄像头与实际拍照的问题,需要 提供许多类似的照片来投毒
一个例子:
以自己的照片为key, 是一个对照片做随机小修改对函数,生成许多poisoning instance注入训练集
「模式-钥匙(pattern-key)」策略
「混合注入」策略
混合注入策略通过将良性输入实例与钥匙模式混合,生成投毒实例和后门实例。模式注入函数
在这篇论文中,作者使用了卡通图像和随机图像作为混合注入的key,随机图像的a容忍度更高
「附件注入」策略
模式注入函数
R代表一些透明区域的像素
「混合附件注入」策略
二者的结合,使用有透明度的附件注入。
*我比较在意这里的物理攻击评估
- Author:faii
- URL:https://www.faii.top/article/4772ddec-a4ab-47b5-8cd4-ed17311abacd
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts