个人原创,转载请标记出处。
本文是阅读论文《STRIP: a defence against trojan attacks on deep neural networks》后的笔记,本文的撰写将不以翻译为基准,而以内容简述为基准来进行。(实际上这篇论文是很久前读的了,但是一直没有写博客/写笔记的习惯,希望这可以作为一个起点)
文章可见于:点我到 ArXiv 下载
文章概述:本文提出了一种针对backdoor attack的 online sample detection method,可以说是较早的一篇 backdoor sample detection 的文章了,并且发表在ACSAC 2019 (CCF-B)上。
本文提出的 detect 方法如下图所示:
说明:(不理解的看后面的原理解释,部分背景也会提及)图 1 中 input x 是待检测的样本,这里示例的是一张加入了 trigger(右下角的小方块) 的样本,作者将验证集中的干净图片依次作为水印添加到 x 上,得到多张添加了水印的 perturbed inputs(比如作者用了 100 张干净图片做水印,那么依次添加后就得到 100 perturbed inputs),随后这多个 perturbed inputs 都输入到模型并得到预测 label(比如这里是 100 个 label),最后计算这多个 label 的熵,如果计算得到的熵值小于设定的阈值,则判定 x 带有trigger,即 x 是受污染的,且说明当前使用的模型是bac