| 论文名称 | Imperceptible Backdoor Attack: From Input Space to Feature Representation |
|---|---|
| 作者 | Nan Zhong(Fudan University) |
| 会议/出版社 | IJCAI 2022 |
| 📄在线pdf 本地pdf | |
| 代码 | 💻pytorch |
| 概要 | 文中提出了一种难以察觉的后门。作者将trigger视为多项式分布下的一种特殊噪声。 通过unet网络生成多项式分布,再通过MLP进行采样。 |
本文提出一种难以察觉的攻击方式,相较于之前的做法,只需要改动一小部分像素就能达到攻击的效果。
背景
先前的隐形 trigger 可以骗过人眼,但是无法骗过检测器
在 DNN 中很多休眠神经元,只有 trigger 出现时才被激活
“Dormant neurons are activated when the trigger appears in the feature representation space.”
文章贡献:
本文从两个方面考虑了后门攻击的隐匿性
解决的问题:
threat model:
模型结构:

loss function
Lcls =L(fθ(xbenign ,yori ))+L(fθ(xmalicious ,ytgt))L_{\text {cls }}=\mathcal{L}\left(f_{\theta}\left(x_{\text {benign }}, y_{\text {ori }}\right)\right)+\mathcal{L}\left(f_{\theta}\left(x_{\text {malicious }}, y_{t g t}\right)\right)Lcls =L(fθ(xbenign ,yori ))+L(fθ(xmalicious ,ytgt))
Letg=(fbenign −fmalicious )2L_{e t g}=\left(f_{\text {benign }}-f_{\text {malicious }}\right)^{2}Letg=(fbenign −fmalicious )2
Lnum=∑i=1w∑j=1h(∣triggeri,j∣)L_{n u m}=\sum_{i=1}^{w} \sum_{j=1}^{h}\left(\left|\operatorname{trigger}_{i, j}\right|\right)Lnum=∑i=1w∑j=1h(∣∣triggeri,j∣∣),
Ltot=Lcls+α⋅Letg+β⋅LnumL_{t o t}=L_{c l s}+\alpha \cdot L_{e t g}+\beta \cdot L_{n u m}Ltot=Lcls+α⋅Letg+β⋅Lnum
数据集一
GTSRB: 包含43个类别的交通信号
train:39209,test:12630
数据集二
CelebA:包含40个类别的人脸数据集
train:162084,test:40515
BA: 正常情况下的准确率
ASR:backdoor 数据的准确率
L1-norm:sum(abs(xbenign−xmalicious))/(channel×height×width)sum(abs(x_{benign} − x_{malicious}))/(channel × height × width)sum(abs(xbenign−xmalicious))/(channel×height×width)
用于统计修改像素的数量
Attack Effectiveness and Visualization
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hasKG1xE-1669022411123)(assets/image-20220525120133-j4mqgi9.png)]](/uploadfile/202402/3489fa930bae82e.png)
证明了这种攻击方法的改动较少,并且能取得不错的准确率
Defences
Ablation Studies