Stetman读paper小记：ATTEQ-NN

注：本周笔者阅读了龚雪鸾、陈艳娇的文章ATTEQ-NN：Attention-based QoE-aware Evasive
Backdoor Attacks。本文讲了作者设计的一种基于注意力机制的后门攻击：ATTEQ-NN

Content

1.abstract&introduction

2.background and related work

3.problem scope and threat model

4.attack methodology

5.implementation and evaluation

abstract&introduction

        首先，作者简要介绍在普遍使用神经网络的大背景下，由于用户自身无能进行训练，绝大部分用户选择云平台提供的训练模型的现状。在这种情况下，后门攻击者便有了可乘之机，通过这个用户无法掌握的训练过程植入后门，在触发情况下扰乱模型的判断结果。

        由于现行模型中，可见的后门攻击易被察觉，不可见的后门攻击“毒性”比较低。而本文作者抓住现行DNN注意力机制的特点，设计了一个基于注意力机制的后门攻击：ATTEQ-NN

        在这里，作者对三个问题进行了解答：

1.如何生成一个触发器来有效地激活模型中的后门?

How to generate a trigger that can effectively excite the backdoor in the model?

作者认为现有的触发器设计没有充分发挥其强化攻击效果的功能。掩码用于确定触发器位置和形状，而现有工作一般随机定掩码，这就使得触发后门效率受到了影响。作者设计一种新的基于注意的触发掩码确定方法。由于DNN模型关注的是图像的重要区域(如人脸)，过滤掉图像中不相关的区域(如背景)，从而做出更准确的判断，因此图像中不同的区域对预测结果的影响程度不同。所以作者根据属于目标误分类标签的样本的注意映射来计算获取触发掩码。通过这种方式，生成的触发器可以强烈地驱动模型输出朝向目标标签。

2.如何将触发器融入其中以逃避目视检查?

How to naturalize the trigger to evade visual inspections?

在第一个回答中作者提及要将掩码控制触发器放在“注意力最集中” 的地区，但这样也就增大了触发器暴露的几率。为了解决这一问题，作者在触发生成的损失函数中引入了体验质量(Quality - experience, QoE)这一个概念，用于衡量原图像和扭曲后的图像对用户而言体验的差异。

 3.如何注入后门来实现有效的规避攻击?

How to inject the backdoor to realize effective and evasive attacks? 

 实际上这里问的就是怎么在保证高成功率的前提下逃避现行防御策略。在大多数情况下，较高的毒比(中毒样本与所有再训练样本的比值)会导致较高的攻击成功率，但可能扭曲决策边界，从而使元分类器能够区分良性模型和后门