Byzantine Robust Federated Learning Scheme Based on Backdoor Triggers 被引量：1

1

作者 Zheng Yang Ke Gu Yiming Zuo 《Computers, Materials & Continua》 SCIE EI 2024年第5期2813-2831,共19页

Federated learning is widely used to solve the problem of data decentralization and can provide privacy protectionfor data owners. However, since multiple participants are required in federated learning, this allows a... Federated learning is widely used to solve the problem of data decentralization and can provide privacy protectionfor data owners. However, since multiple participants are required in federated learning, this allows attackers tocompromise. Byzantine attacks pose great threats to federated learning. Byzantine attackers upload maliciouslycreated local models to the server to affect the prediction performance and training speed of the global model. Todefend against Byzantine attacks, we propose a Byzantine robust federated learning scheme based on backdoortriggers. In our scheme, backdoor triggers are embedded into benign data samples, and then malicious localmodels can be identified by the server according to its validation dataset. Furthermore, we calculate the adjustmentfactors of local models according to the parameters of their final layers, which are used to defend against datapoisoning-based Byzantine attacks. To further enhance the robustness of our scheme, each localmodel is weightedand aggregated according to the number of times it is identified as malicious. Relevant experimental data showthat our scheme is effective against Byzantine attacks in both independent identically distributed (IID) and nonindependentidentically distributed (non-IID) scenarios. 展开更多

关键词 Federated learning Byzantine attacks backdoor triggers

在线阅读 下载PDF 职称材料

基于可解释性的不可见后门攻击研究 被引量：1

2

作者 郑嘉熙 陈伟 +1 位作者 尹萍 张怡婷 《信息安全研究》 北大核心 2025年第1期21-27,共7页

深度学习在各种关键任务上取得了显著的成功.然而,最近的研究表明,深度神经网络很容易受到后门攻击,攻击者释放出对良性样本行为正常的反向模型,但将任何触发器施加的样本错误地分类到目标标签上.与对抗性样本不同,后门攻击主要实施在... 深度学习在各种关键任务上取得了显著的成功.然而,最近的研究表明,深度神经网络很容易受到后门攻击,攻击者释放出对良性样本行为正常的反向模型,但将任何触发器施加的样本错误地分类到目标标签上.与对抗性样本不同,后门攻击主要实施在模型训练阶段,用触发器干扰样本,并向模型中注入后门,提出了一种基于可解释性算法的不可见后门攻击方法.与现有的任意设置触发掩膜的工作不同,精心设计了一个基于可解释性的触发掩膜确定,并采用最新型的随机像素扰动作为触发器样式设计,使触发器施加的样本更自然和难以察觉,用以规避人眼的检测,以及对后门攻击的防御策略.通过在CIFAR-10,CIFAR-100和ImageNet数据集上进行了大量的对比实验证明该攻击的有效性和优越性.还使用SSIM指数评估所设计的后门样本与良性样本之间的差异,得到了接近0.99的评估指标,证明了生成的后门样本在目视检查下是无法识别的.最后还证明了攻击的抗防御性,可以抵御现有的后门防御方法. 展开更多

关键词 深度学习 深度神经网络 后门攻击 触发器 可解释性 后门样本

在线阅读 下载PDF 职称材料

基于扩散模型的机器学习后门攻击防御方法

3

作者 王孙平 张爱清 +1 位作者 叶新荣 王勇 《网络与信息安全学报》 2025年第5期137-148,共12页

后门攻击是机器学习模型在训练阶段面临的主要安全威胁之一。尽管现有针对后门攻击的防御研究已取得显著进展,但这些方法往往会导致模型在干净测试集上的准确率出现明显下降。为解决这一问题,提出了一种基于扩散模型的机器学习后门攻击... 后门攻击是机器学习模型在训练阶段面临的主要安全威胁之一。尽管现有针对后门攻击的防御研究已取得显著进展,但这些方法往往会导致模型在干净测试集上的准确率出现明显下降。为解决这一问题,提出了一种基于扩散模型的机器学习后门攻击防御方法(defending against backdoor attacks with diffusion model,DBADM)。该方法的核心思想是在模型训练前,利用扩散模型对含有后门触发器的中毒样本进行预处理,通过改变样本中隐藏的触发器特征,从而有效抵御后门攻击。研究人员在MNIST、CIFAR-10、Tiny ImageNet和LFW4个基准数据集上进行了系统的攻防对比实验。实验结果表明,所提出的DBADM方法不仅能够有效防御各类后门攻击,还能保持模型在干净数据集上的高精度性能。 展开更多

关键词 机器学习 后门攻击 触发器 扩散模型

在线阅读 下载PDF 职称材料

基于触发差异优化的联邦学习持久后门攻击

4

作者 蒋雨霏 田育龙 赵彦超 《计算机科学》 北大核心 2025年第4期343-351,共9页

联邦学习分布式的特性使其允许各客户端在保持数据独立性的同时进行模型训练,但这也使得攻击者可以控制或模仿部分客户端来发起后门攻击,通过植入精心设计的固定触发器操纵模型输出。触发器的有效性和持久性是衡量攻击效果的重要标准,... 联邦学习分布式的特性使其允许各客户端在保持数据独立性的同时进行模型训练,但这也使得攻击者可以控制或模仿部分客户端来发起后门攻击,通过植入精心设计的固定触发器操纵模型输出。触发器的有效性和持久性是衡量攻击效果的重要标准,有效性即攻击成功率,持久性即停止攻击后维持高攻击成功率的能力。目前针对有效性的研究已经相对深入,但如何维持触发器的持久性仍然是一个有挑战性的问题。为延长触发器的持久性,提出了一种基于动态优化触发器的后门攻击方法。首先,在联邦学习动态更新时同步优化触发器,将触发器特征在攻击时模型与攻击后模型的潜在表示的差异最小化,以此训练全局模型对触发器特征的记忆能力。其次,使用冗余神经元作为植入后门是否成功的指标,通过自适应添加噪声来增强攻击的有效性。在MNIST,CIFAR-10和CIFAR-100数据集上进行广泛实验,结果表明,所提方案有效延长了联邦学习环境下触发器的持久性。在具有代表性的5种防御体系下攻击成功率高于98%,特别是在针对CIFAR-10数据集的攻击停止超过600轮后,攻击成功率仍然高于90%。 展开更多

关键词 联邦学习 后门攻击 动态触发器 攻击持久性 模型安全

在线阅读 下载PDF 职称材料

基于知识蒸馏的联邦学习后门攻击方法

5

作者 赵桐 陈学斌 +2 位作者 王柳 景忠瑞 钟琪 《计算机科学》 北大核心 2025年第11期434-443,共10页

联邦学习能够使不同参与者利用私人数据集共同训练一个全局模型。然而,联邦学习的分布式特性,也为后门攻击提供了空间。后门攻击中的攻击者对全局模型进行投毒,使全局模型在遇到带有特定后门触发器的样本时被误导至有针对性的错误预测... 联邦学习能够使不同参与者利用私人数据集共同训练一个全局模型。然而,联邦学习的分布式特性,也为后门攻击提供了空间。后门攻击中的攻击者对全局模型进行投毒,使全局模型在遇到带有特定后门触发器的样本时被误导至有针对性的错误预测。对此,提出了一种基于知识蒸馏的联邦学习后门攻击方法(KDFLBD)。首先,利用蒸馏生成的浓缩毒化数据集训练教师模型,并将教师模型的“暗知识”传递给学生模型,以提炼恶意神经元。然后,通过神经元Z分数排序和混合,将带有后门的神经元嵌入全局模型。在常见数据集上评估了KDFLBD在iid和non-iid场景下的性能,相较于像素攻击和标签翻转攻击,KDFLBD在保证主任务准确率(MTA)不受影响的同时,显著提升了攻击成功率(ASR)。 展开更多

关键词 联邦学习 后门攻击 知识蒸馏 触发器 隐私保护

在线阅读 下载PDF 职称材料

一种少样本类增量学习中的隐蔽性后门攻击方法

6

作者 钱慧 刘亚志 +2 位作者 李伟 安逸 李思维 《信息安全研究》 北大核心 2025年第9期797-806,共10页

深度学习的快速发展导致用户对训练数据的需求急剧增加,少样本类增量学习已经成为一种在训练深度学习模型时增强数据完整性的重要技术,用户可以直接下载经过少样本类增量学习算法训练好的数据集或模型提高使用效率.然而此技术带来便利... 深度学习的快速发展导致用户对训练数据的需求急剧增加,少样本类增量学习已经成为一种在训练深度学习模型时增强数据完整性的重要技术,用户可以直接下载经过少样本类增量学习算法训练好的数据集或模型提高使用效率.然而此技术带来便利的同时模型的安全问题也应引起人们的关注.对图像领域中的少样本类增量学习模型进行了后门攻击的研究,提出一种少样本类增量学习中的隐蔽性后门攻击方法,分别在初始和增量2个阶段进行后门攻击:在初始阶段将隐蔽性后门触发器注入基础数据集,含有后门的基础数据集代替原始数据进行增量学习;在增量阶段,当新增批次样本到来时选择部分样本加入触发器,并在增量过程中迭代地优化触发器,使其具有最佳的触发效果.经实验评估表明,隐蔽性后门攻击方法的攻击成功率(attack success rate, ASR)最高可达到100%,干净样本测试准确率(clean test accuracy, CTA)与干净样本模型性能保持稳定水平,同时对后门防御机制具有鲁棒性. 展开更多

关键词 少样本类增量学习 模型安全 后门攻击 数据投毒 隐蔽性触发器

在线阅读 下载PDF 职称材料

基于知识遗忘的联邦自监督学习后门防御方法

7

作者 朱万全 朱诚诚 +1 位作者 张佳乐 孙小兵 《扬州大学学报(自然科学版)》 2025年第4期43-50,59,共9页

针对联邦自监督学习在后门攻击场景下存在的脆弱性,提出了一种基于知识遗忘的联邦自监督后门防御方法。该方法结合后门攻击成功的原始机理,通过计算样本对的嵌入相似性逆向还原触发器,并利用全局模型下发已还原的触发器对本地模型进行... 针对联邦自监督学习在后门攻击场景下存在的脆弱性,提出了一种基于知识遗忘的联邦自监督后门防御方法。该方法结合后门攻击成功的原始机理,通过计算样本对的嵌入相似性逆向还原触发器,并利用全局模型下发已还原的触发器对本地模型进行遗忘学习,继而通过双向优化训练擦除恶意参与方植入的后门特征,使得联邦自监督学习的全局模型迁移到下游任务时,能够避免因后门触发器的恶意影响而导致的误分类,同时保持其在干净输入上的准确性。实验结果表明,所提方法能有效防御联邦学习中多种典型后门攻击,性能优越,并能在模型训练过程中消除后门攻击的负面影响,无须依赖可信中央服务器,为自监督学习后门场景下的敏感数据训练提供了高效、鲁棒的解决方法。 展开更多

关键词 联邦自监督学习 触发器还原 遗忘学习 后门攻击 后门防御

在线阅读 下载PDF 职称材料

基于对比训练的联邦学习后门防御方法 被引量：1

8

作者 张佳乐 朱诚诚 +2 位作者 成翔 孙小兵 陈兵 《通信学报》 EI CSCD 北大核心 2024年第3期182-196,共15页

针对现有联邦学习后门防御方法不能实现对模型已嵌入后门特征的有效清除同时会降低主任务准确率的问题,提出了一种基于对比训练的联邦学习后门防御方法 Contra FL。利用对比训练来破坏后门样本在特征空间中的聚类过程,使联邦学习全局模... 针对现有联邦学习后门防御方法不能实现对模型已嵌入后门特征的有效清除同时会降低主任务准确率的问题,提出了一种基于对比训练的联邦学习后门防御方法 Contra FL。利用对比训练来破坏后门样本在特征空间中的聚类过程,使联邦学习全局模型分类结果与后门触发器特征无关。具体而言,服务器通过执行触发器生成算法构造生成器池,以还原全局模型训练样本中可能存在的后门触发器;进而,服务器将触发器生成器池下发给各参与方,各参与方将生成的后门触发器添加至本地样本,以实现后门数据增强,最终通过对比训练有效消除后门攻击的负面影响。实验结果表明,Contra FL能够有效防御联邦学习中的多种后门攻击,且效果优于现有防御方法。 展开更多

关键词 联邦学习 后门攻击 对比训练 触发器 后门防御

在线阅读 下载PDF 职称材料

神经网络后门攻击与防御综述 被引量：4

9

作者 汪旭童 尹捷 +4 位作者 刘潮歌 徐辰晨 黄昊 王志 张方娇 《计算机学报》 EI CAS CSCD 北大核心 2024年第8期1713-1743,共31页

当前,深度神经网络(Deep Neural Network,DNN)得到了迅速发展和广泛应用,由于其具有数据集庞大、模型架构复杂的特点,用户在训练模型的过程中通常需要依赖数据样本、预训练模型等第三方资源.然而,不可信的第三方资源为神经网络模型的安... 当前,深度神经网络(Deep Neural Network,DNN)得到了迅速发展和广泛应用,由于其具有数据集庞大、模型架构复杂的特点,用户在训练模型的过程中通常需要依赖数据样本、预训练模型等第三方资源.然而,不可信的第三方资源为神经网络模型的安全带来了巨大的威胁,最典型的是神经网络后门攻击.攻击者通过修改数据集或模型的方式实现向模型中植入后门,该后门能够与样本中的触发器(一种特定的标记)和指定类别建立强连接关系,从而使得模型对带有触发器的样本预测为指定类别.为了更深入地了解神经网络后门攻击原理与防御方法,本文对神经网络后门攻击和防御进行了体系化的梳理和分析.首先,本文提出了神经网络后门攻击的四大要素,并建立了神经网络后门攻防模型,阐述了在训练神经网络的四个常规阶段里可能受到的后门攻击方式和防御方式;其次,从神经网络后门攻击和防御两个角度,分别基于攻防者能力,从攻防方式、关键技术、应用场景三个维度对现有研究进行归纳和比较,深度剖析了神经网络后门攻击产生的原因和危害、攻击的原理和手段以及防御的要点和方法;最后,进一步探讨了神经网络后门攻击所涉及的原理在未来研究上可能带来的积极作用. 展开更多

关键词 深度神经网络 触发器 后门攻击 后门防御 攻防模型

在线阅读 下载PDF 职称材料

工业场景下联邦学习中基于模型诊断的后门防御方法

10

作者 王迅 许方敏 +1 位作者 赵成林 刘宏福 《计算机科学》 CSCD 北大核心 2024年第1期335-344,共10页

联邦学习作为一种能够解决数据孤岛问题、实现数据资源共享的机器学习方法,其特点与工业设备智能化发展的要求相契合。因此,以联邦学习为代表的人工智能技术在工业互联网中的应用越来越广泛。但是,针对联邦学习架构的攻击手段也在不断... 联邦学习作为一种能够解决数据孤岛问题、实现数据资源共享的机器学习方法,其特点与工业设备智能化发展的要求相契合。因此,以联邦学习为代表的人工智能技术在工业互联网中的应用越来越广泛。但是,针对联邦学习架构的攻击手段也在不断更新。后门攻击作为攻击手段的代表之一,有着隐蔽性和破坏性强的特点,而传统的防御方案往往无法在联邦学习架构下发挥作用或者对早期攻击防范能力不足。因此,研究适用于联邦学习架构的后门防御方案具有重大意义。文中提出了一种适用于联邦学习架构的后门诊断方案,能够在无数据情况下利用后门模型的形成特点重构后门触发器,实现准确识别并移除后门模型,从而达到全局模型后门防御的目的。此外,还提出了一种新的检测机制实现对早期模型的后门检测,并在此基础上优化了模型判决算法,通过早退联合判决模式实现了准确率与速度的共同提升。 展开更多

关键词 联邦学习 后门防御 早期后门攻击 后门触发器 早退联合判决

在线阅读 下载PDF 职称材料

基于触发器逆向的联邦学习后门防御方法 被引量：1

11

作者 林怡航 周鹏远 +1 位作者 吴治谦 廖勇 《信息网络安全》 CSCD 北大核心 2024年第2期262-271,共10页

联邦学习作为一种新兴分布式机器学习范式,实现了多客户间的分布式协同模型训练,不需要上传用户的原始数据,从而保护了用户隐私。然而,在联邦学习中由于服务器无法审查客户端的本地数据集,恶意客户端可通过数据投毒将后门嵌入全局模型... 联邦学习作为一种新兴分布式机器学习范式,实现了多客户间的分布式协同模型训练,不需要上传用户的原始数据,从而保护了用户隐私。然而,在联邦学习中由于服务器无法审查客户端的本地数据集,恶意客户端可通过数据投毒将后门嵌入全局模型。传统的联邦学习后门防御方法大多基于模型检测的思想进行后门防御,而忽略了联邦学习自身的分布式特性。因此,文章提出一种基于触发器逆向的联邦学习后门防御方法,使聚合服务器和分布式客户端协作,利用触发器逆向技术生成额外的数据,增强客户端本地模型的鲁棒性,从而进行后门防御。在不同数据集上进行实验,实验结果表明,文章提出的方法可以有效防御后门攻击。 展开更多

关键词 联邦学习 后门攻击 后门防御 鲁棒性训练 触发器逆向

在线阅读 下载PDF 职称材料

自编码器端到端通信系统后门攻击方法

12

作者 甘润 魏祥麟 +3 位作者 王超 王斌 王敏 范建华 《计算机科学》 CSCD 北大核心 2024年第7期413-421,共9页

自编码器端到端通信系统无需显式地设计通信协议,比传统模块式通信系统复杂性更低,且灵活性和鲁棒性更高。然而,自编码器模型的弱可解释性也给端到端通信系统带来了新的安全隐患。实验表明,在信道未知且解码器单独训练的场景下,通过在... 自编码器端到端通信系统无需显式地设计通信协议,比传统模块式通信系统复杂性更低,且灵活性和鲁棒性更高。然而,自编码器模型的弱可解释性也给端到端通信系统带来了新的安全隐患。实验表明,在信道未知且解码器单独训练的场景下,通过在信道层添加精心设计的触发器就可以让原本表现良好的解码器产生误判,并且不影响解码器处理不含触发器样本时的性能,从而实现针对通信系统的后门攻击。文中设计了一种触发器生成模型,并提出了将触发器生成模型与自编码器模型进行联合训练的后门攻击方法,实现动态的触发器的自动生成,在增加攻击隐蔽性的同时提升了攻击成功率。为了验证所提方法的有效性,分别实现了4种不同的自编码器模型,考察了不同信噪比、不同投毒率、不同触发器尺寸以及不同触发信号比场景下的后门攻击效果。实验结果表明,在6dB信噪比下,针对4种不同的自编码器模型,所提方法的攻击成功率与干净样本识别率均超过92%。 展开更多

关键词 深度学习 后门攻击 端到端通信 触发器 自编码器

在线阅读 下载PDF 职称材料

基于生成式对抗网络的联邦学习后门攻击方案 被引量：15

13

作者 陈大卫 付安民 +1 位作者 周纯毅 陈珍珠 《计算机研究与发展》 EI CSCD 北大核心 2021年第11期2364-2373,共10页

联邦学习使用户在数据不出本地的情形下参与协作式的模型训练,降低了用户数据隐私泄露风险,广泛地应用于智慧金融、智慧医疗等领域.但联邦学习对后门攻击表现出固有的脆弱性,攻击者通过上传模型参数植入后门,一旦全局模型识别带有触发... 联邦学习使用户在数据不出本地的情形下参与协作式的模型训练,降低了用户数据隐私泄露风险,广泛地应用于智慧金融、智慧医疗等领域.但联邦学习对后门攻击表现出固有的脆弱性,攻击者通过上传模型参数植入后门,一旦全局模型识别带有触发器的输入时,会按照攻击者指定的标签进行误分类.因此针对联邦学习提出了一种新型后门攻击方案Bac_GAN,通过结合生成式对抗网络技术将触发器以水印的形式植入干净样本,降低了触发器特征与干净样本特征之间的差异,提升了触发器的隐蔽性,并通过缩放后门模型,避免了参数聚合过程中后门贡献被抵消的问题,使得后门模型在短时间内达到收敛,从而显著提升了后门攻击成功率.此外,论文对触发器生成、水印系数、缩放系数等后门攻击核心要素进行了实验测试,给出了影响后门攻击性能的最佳参数,并在MNIST,CIFAR-10等数据集上验证了Bac_GAN方案的攻击有效性. 展开更多

关键词 联邦学习 生成式对抗网络 后门攻击 触发器 水印

在线阅读 下载PDF 职称材料

基于自定义后门的触发器样本检测方案 被引量：1

14

作者 王尚 李昕 +2 位作者 宋永立 苏铓 付安民 《信息安全学报》 CSCD 2022年第6期48-61,共14页

深度学习利用强大的特征表示和学习能力为金融、医疗等多个领域注入新的活力,但其训练过程存在安全威胁漏洞,攻击者容易通过操纵训练集或修改模型权重执行主流后门攻击:数据中毒攻击与模型中毒攻击。两类攻击所产生的后门行为十分隐蔽,... 深度学习利用强大的特征表示和学习能力为金融、医疗等多个领域注入新的活力,但其训练过程存在安全威胁漏洞,攻击者容易通过操纵训练集或修改模型权重执行主流后门攻击:数据中毒攻击与模型中毒攻击。两类攻击所产生的后门行为十分隐蔽,后门模型可以保持干净样本的分类精度,同时对嵌入攻击者预定义触发器的样本呈现定向误分类。针对干净样本与触发器样本在拟合程度上的区别,提出一种基于自定义后门行为的触发器样本检测方案BackDetc,防御者自定义一种微小触发器并执行数据中毒攻击向模型注入自定义的后门,接着通过嵌入自定义触发器设计一种输入样本扰动机制,根据自定义触发器的透明度衡量输入样本的拟合程度,最终以干净样本的拟合程度为参照设置异常检测的阈值,进而识别触发器样本,不仅维持资源受限用户可负担的计算开销,而且降低了后门防御假设,能够部署于实际应用中,成功抵御主流后门攻击以及威胁更大的类可知后门攻击。在MNIST、CIFAR-10等分类任务中,BackDetc对数据中毒攻击与模型中毒攻击的检测成功率均高于目前的触发器样本检测方案,平均达到99.8%以上。此外,论文探究了检测假阳率对检测性能的影响,并给出了动态调整BackDetc检测效果的方法,能够以100%的检测成功率抵御所有分类任务中的主流后门攻击。最后,在CIFAR-10任务中实现类可知后门攻击并对比各类触发器样本检测方案,仅有BackDetc成功抵御此类攻击并通过调整假阳率将检测成功率提升至96.2%。 展开更多

关键词 深度学习 后门攻击 自定义后门 拟合程度 触发器样本

在线阅读 下载PDF 职称材料

面向频谱接入深度强化学习模型的后门攻击方法 被引量：1

15

作者 魏楠 魏祥麟 +2 位作者 范建华 薛羽 胡永扬 《计算机科学》 CSCD 北大核心 2023年第1期351-361,共11页

深度强化学习(Deep Reinforcement Learning,DRL)方法以其在智能体感知和决策方面的优势,在多用户智能动态频谱接入问题上得到广泛关注。然而,深度神经网络的弱可解释性使得DRL模型容易受到后门攻击威胁。针对认知无线网络下基于深度强... 深度强化学习(Deep Reinforcement Learning,DRL)方法以其在智能体感知和决策方面的优势,在多用户智能动态频谱接入问题上得到广泛关注。然而,深度神经网络的弱可解释性使得DRL模型容易受到后门攻击威胁。针对认知无线网络下基于深度强化学习模型的动态频谱接入(Dynamic Spectrum Access,DSA)场景,提出了一种非侵入、开销低的后门攻击方法。攻击者通过监听信道使用情况来选择非侵入的后门触发器,随后将后门样本添加到次用户的DRL模型训练池,并在训练阶段将后门植入DRL模型中;在推理阶段,攻击者主动发送信号激活模型中的触发器,使次用户做出目标动作,降低次用户的信道接入成功率。仿真结果表明,所提后门攻击方法能够在不同规模的DSA场景下达到90%以上的攻击成功率,相比持续攻击可以减少20%~30%的攻击开销,并适用于3种不同类型的DRL模型。 展开更多

关键词 动态频谱接入 深度强化学习 后门攻击 触发器

在线阅读 下载PDF 职称材料

深度神经网络中的后门攻击与防御技术综述 被引量：2

16

作者 钱汉伟 孙伟松 《计算机科学与探索》 CSCD 北大核心 2023年第5期1038-1048,共11页

神经网络后门攻击旨在将隐藏的后门植入到深度神经网络中,使被攻击的模型在良性测试样本上表现正常,而在带有后门触发器的有毒测试样本上表现异常,如将有毒测试样本的类别预测为攻击者的目标类。对现有攻击和防御方法进行全面的回顾,以... 神经网络后门攻击旨在将隐藏的后门植入到深度神经网络中,使被攻击的模型在良性测试样本上表现正常,而在带有后门触发器的有毒测试样本上表现异常,如将有毒测试样本的类别预测为攻击者的目标类。对现有攻击和防御方法进行全面的回顾,以攻击对象作为主要分类依据,将攻击方法分为数据中毒攻击、物理世界攻击、中毒模型攻击和其他攻击等类别。从攻防对抗的角度对现有后门攻击和防御的技术进行归纳总结,将防御方法分为识别有毒数据、识别中毒模型、过滤攻击数据等类别。从深度学习几何原理、可视化等角度探讨深度神经网络后门缺陷产生的原因,从软件工程、程序分析等角度探讨深度神经网络后门攻击和防御的困难以及未来发展方向。希望为研究者了解深度神经网络后门攻击与防御的研究进展提供帮助,为设计更健壮的深度神经网络提供更多启发。 展开更多

关键词 深度神经网络 后门攻击 后门防御 触发器

在线阅读 下载PDF 职称材料

隐蔽图像后门攻击 被引量：1

17

作者 朱淑雯 罗戈 +3 位作者 韦平 李晟 张新鹏 钱振兴 《中国图象图形学报》 CSCD 北大核心 2023年第3期864-877,共14页

目的图像后门攻击是一种经典的对抗性攻击形式,后门攻击使被攻击的深度模型在正常情况下表现良好,而当隐藏的后门被预设的触发器激活时就会出现恶性结果。现有的后门攻击开始转向为有毒样本分配干净标签或在有毒数据中隐蔽触发器以对抗... 目的图像后门攻击是一种经典的对抗性攻击形式,后门攻击使被攻击的深度模型在正常情况下表现良好,而当隐藏的后门被预设的触发器激活时就会出现恶性结果。现有的后门攻击开始转向为有毒样本分配干净标签或在有毒数据中隐蔽触发器以对抗人类检查,但这些方法在视觉监督下很难同时具备这两种安全特性,并且它们的触发器可以很容易地通过统计分析检测出来。因此,提出了一种隐蔽有效的图像后门攻击方法。方法首先通过信息隐藏技术隐蔽图像后门触发,使标签正确的中毒图像样本(标签不可感知性)和相应的干净图像样本看起来几乎相同(图像不可感知性)。其次,设计了一种全新的后门攻击范式,其中毒的源图像类别同时也是目标类。提出的后门攻击方法不仅视觉上是隐蔽的,同时能抵御经典的后门防御方法(统计不可感知性)。结果为了验证方法的有效性与隐蔽性,在ImageN et、MNIST、CIFAR-10数据集上与其他3种方法进行了对比实验。实验结果表明,在3个数据集上,原始干净样本分类准确率下降均不到1%,中毒样本分类准确率都超过94%,并具备最好的图像视觉效果。另外,验证了所提出的触发器临时注入的任意图像样本都可以发起有效的后门攻击。结论所提出的后门攻击方法具备干净标签、触发不可感知、统计不可感知等安全特性,更难被人类察觉和统计方法检测。 展开更多

关键词 后门攻击 隐蔽触发 攻击范式 干净标签 统计隐蔽

原文传递

基于Oracle触发器的后门隐藏技术研究

18

作者 袁梁 《淮阴师范学院学报（自然科学版）》 CAS 2015年第3期238-242,共5页

基于云计算环境下网络攻击与防御技术的研究,对传统后门隐藏方式进行分析,提出了一种基于Oracle触发器的后门隐藏技术.通过在当前Oracle账户下指定的触发器中插入Java存储过程调用语句块,当业务系统发生特定操作行为时,触发Java存储过... 基于云计算环境下网络攻击与防御技术的研究,对传统后门隐藏方式进行分析,提出了一种基于Oracle触发器的后门隐藏技术.通过在当前Oracle账户下指定的触发器中插入Java存储过程调用语句块,当业务系统发生特定操作行为时,触发Java存储过程调用语句块的执行,达到通过Java存储过程调用外部程序的目的,从而启动潜伏于操作系统中的后门程序,而在业务系统正常的业务操作过程中,触发器执行自身应有功能,后门程序保持长期静态潜伏.通过针对该后门隐藏技术实现原理的深入分析,找到了有效的防御措施. 展开更多

关键词 Oracle云计算 存储过程 ORACLE触发器 后门隐藏

在线阅读 下载PDF 职称材料

一种改进的深度神经网络后门攻击方法 被引量：1

19

作者 任时萱 王茂宇 赵辉 《信息网络安全》 CSCD 北大核心 2021年第5期82-89,共8页

触发器生成网络是深度神经网络后门攻击方法的关键算法。现有的触发器生成网络有以下两个主要问题:第一,触发器候选数据集使用静态的人工选择,未考虑候选数据集对目的神经元的敏感性,存在冗余数据。第二,触发器生成网络仅考虑如何更好... 触发器生成网络是深度神经网络后门攻击方法的关键算法。现有的触发器生成网络有以下两个主要问题:第一,触发器候选数据集使用静态的人工选择,未考虑候选数据集对目的神经元的敏感性,存在冗余数据。第二,触发器生成网络仅考虑如何更好地激活目的神经元,并未考虑触发器的抗检测问题。针对候选数据集冗余的问题,文章使用敏感度分析方法,选择相对目标神经元更敏感的数据集从而降低冗余数据。面对现有的触发器检测方法,改进的触发器生成网络可以在保证攻击准确度的情况下,通过设计聚类结果与随机化混淆作为综合惩罚的方法,使生成的触发器绕过检测。实验结果表明,使用这种方法生成的触发器可以在保持较高攻击精确率的同时,在聚类检测方法上表现出较低的攻击检测率,在STRIP扰动检测方法上表现出较高的攻击拒识率。 展开更多

关键词 深度神经网络后门攻击 触发器生成网络 目的神经元 触发器

在线阅读 下载PDF 职称材料

面向视觉分类模型的投毒攻击

20

作者 梁捷 郝晓燕 陈永乐 《计算机应用》 CSCD 北大核心 2023年第2期467-473,共7页

数据投毒攻击中的后门攻击方式的攻击者通过将带有隐藏触发器的样本插入训练集中来操纵训练数据的分布,从而使测试样本错误分类以达到改变模型行为和降低模型性能的目的。而现有触发器的弊端是样本无关性,即无论采用什么触发模式,不同... 数据投毒攻击中的后门攻击方式的攻击者通过将带有隐藏触发器的样本插入训练集中来操纵训练数据的分布,从而使测试样本错误分类以达到改变模型行为和降低模型性能的目的。而现有触发器的弊端是样本无关性,即无论采用什么触发模式,不同有毒样本都包含相同触发器。因此将图像隐写技术与深度卷积对抗网络(DCGAN)结合,提出一种基于样本的攻击方法来根据灰度共生矩阵生成图像纹理特征图,利用图像隐写技术将目标标签字符嵌入纹理特征图中作为触发器,并将带有触发器的纹理特征图和干净样本拼接成中毒样本,再通过DCGAN生成大量带有触发器的假图。在训练集样本中将原中毒样本以及DCGAN生成的假图混合起来,最终达到投毒者注入少量的中毒样本后,在拥有较高的攻击率同时,保证触发器的有效性、可持续性和隐藏性的效果。实验结果表明,该方法避免了样本无关性的弊端,并且模型精确度达到93.78%,在30%的中毒样本比例下,数据预处理、剪枝防御以及AUROR防御方法对攻击成功率的影响达到最小,攻击成功率可达到56%左右。 展开更多

关键词 视觉分类模型 投毒攻击 后门攻击 触发器 图像隐写 深度卷积对抗网络

在线阅读 下载PDF 职称材料