【五期邹昱夫】CCF-A(IEEE'22)Dynamic Backdoor Attacks Against Machine Learning Models
本文专注于对图像分类任务中的深度神经网络模型的后门攻击,提出了针对深度神经网络的第一类动态后门技术,即随机后门、后门生成网络(BaN)和条件后门生成网络。"Salem A, Wen R, Backes M, et al. Dynamic backdoor attacks against machine learning models[C]//2022 IEEE 7th European Symposium on Security and Privacy (EuroS&P). IEEE, 2022: 703-718."
随机后门:从均匀分布中采样来构造触发器。将每个随机生成的触发器放置在每个输入的随机位置,然后将其与干净的数据混合以训练后门模型。
后门生成网络(BaN):提出了生成ML模型,即BaN,以生成触发器。BaN与后门模型联合训练,从均匀分布中采样一个潜在代码来生成触发器,然后将其放置在输入上的随机位置,从而使触发器在模式和位置方面具有动态性。此外,BaN本质上是一个通用框架,在该框架下,对手可以根据其需求改变和调整其损失功能。
条件后门生成网络(c-BaN):克服了前两种技术对于多个目标标签具有不相交位置集的限制。在该技术中修改了BaN的体系结构,将目标标签作为输入,以生成该特定标签的触发器。此特定于目标的触发器属性允许将不同目标标签的触发器放置在任何位置。
本文的优点在于通过生成对抗网络(GAN)作为灵感来源,设计了后门生成网络(BaN)。二者不同点在于,首先,它不是生成图像,而是生成后门触发器。其次,用目标模型而不是鉴别器联合训练BaN的生成器,以学习(生成器)并实现(目标模型)后门触发器的最佳模式。
本文的缺点在于实验设计与其攻击目标不符,文章设计的攻击目标是干扰目标模型的训练时间,但是其实验中未设计相关实验,并且实验数据存在问题,在CelebA数据集的实验结果里,添加了后门数据模型精准度反而变高了。
2023年2月3日
