type
status
date
slug
summary
tags
category
icon
password
 
之前的触发器都是基于噪声或特点模式,容易被人类肉眼发现。因此本文使用基于翘曲的后门触发器,并提出一种新的训练模式,称为“noise”mode(噪声模式)。
notion image
Residual是残差的意思
 

Image warping

Image warping是一种应用几何变换使图像发生变形的变换。
图像变形(Image warping)是一种数字图像处理技术,用于将图像在像素级别上进行形状变换。它可以通过调整图像中的像素位置或像素强度来改变图像的几何形状。图像变形广泛应用于计算机视觉、计算机图形学和图像处理等领域。
图像变形可以用于多种目的,例如:
  1. 图像扭曲:通过将图像中的像素移动到新的位置来改变图像的形状。这可以用于纠正图像中的畸变,或者创建一些有趣的视觉效果。
  1. 图像校正:通过变形图像来纠正透视畸变。透视畸变是指由于相机的投影性质而导致的图像中的直线看起来不平行的现象。通过图像变形,可以将图像中的直线纠正为平行。
  1. 图像匹配:通过变形图像来匹配两个不同视角或尺度的图像。这在计算机视觉中常用于目标跟踪、图像配准和拼接等应用。
图像变形的方法有很多种,常见的包括:
  1. 插值方法:使用插值技术在变形过程中估计新位置的像素值。常用的插值方法包括双线性插值和双三次插值。
  1. 网格变形:通过在图像上定义一个网格,并调整网格中的控制点来变形图像。这种方法可以在图像的局部区域进行精细的形状调整。
  1. 光流法:利用图像序列中的像素运动信息来进行变形。光流法假设相邻帧之间的像素具有一定的连续性,通过估计像素的运动向量来进行图像变形。
 

WARPING-BASED BACKDOOR ATTACK

具体而言,该攻击方法通过设计一个扭曲函数M,将目标图像x通过函数B进行注入。注入函数B的定义为B(x) = W(x, M),其中W表示图像扭曲操作。扭曲函数M类似于一个运动场,它定义了目标图像中每个点向后扭曲的相对采样位置。通过改变扭曲函数M的设计方式,可以实现不同的攻击效果。
运动场类比为扭曲函数M,用于定义目标图像中每个点向后扭曲的相对采样位置。你可以将运动场理解为一种二维的变形模式,它描述了如何在图像中的每个位置进行扭曲,以达到特定的效果。
具体来说,运动场可以看作是一个函数,输入为图像中的坐标位置,输出为该位置的扭曲偏移量。通过在图像上应用这个运动场函数,可以将图像的像素位置按照指定的扭曲模式进行调整,从而实现图像扭曲的效果。
在设计扭曲函数M时,需要满足一些关键性质,以提高攻击的隐蔽性和有效性:
  1. 小规模(Small):扭曲应该是微小的,以避免被人类观察者察觉到。这样,注入的后门就不容易被发现。
  1. 弹性(Elastic):扭曲应该是弹性的,即光滑但非平坦的。这样扭曲后的图像看起来更自然,不容易引起怀疑。
  1. 保持图像边界内(Within image boundary):扭曲函数M需要在目标图像的边界内,以避免生成可疑的区域。这样,注入的后门就不容易被检测到。
通过满足这些性质,设计的扭曲函数M能够以一种特定的模式扭曲图像,这种扭曲形式会被神经网络模型用作特征进行提取。当受感染的图像输入到模型中时,模型会受到扭曲的影响,并执行与后门函数B相关的操作,导致模型输出错误的结果或执行恶意行为。
notion image
 
TODO:
这里没有考虑M运动场的训练方式,之后有时间补上
 
Discussion
好像不是很鲁棒,如果在输入自己加一个扰动就没有攻击的作用了,似乎可以看作一个比较便捷的不可见attack
Relate Posts
De-anonymization Attacks on Metaverse
时序稀疏对抗攻击在序列步态识别中的应用
Clean-Label Backdoor Attacks on Video Recognition Models
Sleeper Agent: Scalable Hidden Trigger Backdoors for Neural Networks Trained from Scratch.
TrojanZoo
BackdoorBox: A Python Toolbox for Backdoor Learning
Poison Frogs! Targeted Clean-Label Poisoning Attacks on Neural NetworksReflection Backdoor: A Natural Backdoor Attack onDeep Neural Networks