频域中的后门攻击论文笔记

最新推荐文章于 2025-02-10 09:00:14 发布
最新推荐文章于 2025-02-10 09:00:14 发布
阅读量1k 收藏 3
点赞数
分类专栏: AI安全 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weiyuxin107/article/details/127981864
版权

文章一:Rethinking the Backdoor Attacks’ Triggers: A Frequency Perspective

文章贡献:

  • 在频域上对现有的 backdoor trigger 进行分析,发现常见 trigger 存在 high-frequency artifacts 的问题。
  • 对这些 artifacts 进行了详细的分析
  • 展示了在频域空间中检测 trigger 的有效性
  • 提出了一种方法,生成不具有 high-frequency artifacts 的 trigger ,并且对其的可检测性进行了分析

Frequency Artifacts

作者通过 type-II 2D-DCT 变换,将图片从空域转换到频域。

在这里插入图片描述

Analyzing Causes of High-Frequency Artifacts

  • Local Patching

    By the linearity of DCT, adding a trigger to an image is equivalent to adding the trigger’s frequency spectrum to the image’s spectrum.

  • Large-Size or Global Patching

    相邻像素之间相关性降低,触发器携带的高频信息

  • GAN-Generated Backdoor Data

    GAN中使用的上采样导致 high-frequency artifacts (引用文章

Frequency-Based Backdoor Data Detection

关于使用频域信息进行防御,未阅读。

Creating Smooth Triggers

  • 问题定义:

    min ⁡ δ Σ i L ( x i + δ , y tar  ; θ p ) + λ Ω ( δ ; g ) \min _{\delta} \Sigma_{i} L\left(x_{i}+\delta, y_{\text {tar }} ; \theta_{p}\right)+\lambda \Omega(\delta ; g) minδΣiL(xi+δ,ytar ;θp)+λΩ(δ;g),
    s.t. x i + δ ⏟ i = 1 , … , N ∈ [ 0 , 1 ] n \quad \underbrace{x_{i}+\delta}_{i=1, \ldots, N} \in[0,1]^{n} i=1,,N xi+δ[0,1]n,

    We adopt Ω ( ⋅ ; g ) \Omega(\cdot ; g) Ω(;g) from SmoothFool

    θ p = argmin ⁡ θ ( Σ i L ( x i , y i ; θ ) + Σ j L ( x j + δ , y t a r ; θ ) ) \theta_{p}=\operatorname{argmin}_{\theta}\left(\Sigma_{i} L\left(x_{i}, y_{i} ; \theta\right)+\Sigma_{j} L\left(x_{j}+\delta, y_{t a r} ; \theta\right)\right) θp=argminθ(ΣiL(xi,yi;θ)+ΣjL(xj+δ,ytar;θ))

    关于 trigger 的生成,文中采用了:每一次迭代后,将扰动通过低通滤波器再更新触发器。 (pdf)

  • 因此生成 trigger 的公式变为:

    min ⁡ r Σ i L ( x i p o i , y t a r ; θ p o i ) \min _{r} \Sigma_{i} L\left(x_{i}^{p o i}, y_{t a r} ; \theta_{p o i}\right) minrΣiL(xipoi,ytar;θpoi),
    s.t. r = δ ∗ g r=\delta * g r=δg,
    x i p o i = M ( x i + λ r ) ⏟ i = 1 , … , N \underbrace{x_{i}^{p o i}=M\left(x_{i}+\lambda r\right)}_{i=1, \ldots, N} i=1,,N xipoi=M(xi+λr),

    • 其中 r r r 为扰动与低通滤波器卷积后的结果。
    • M M M 代表标准化的过程,让 posion image 限制到 [0, 1]
    • 标准化可以更好地保持像素间的比例

  • 生成 trigger 的可视化

在这里插入图片描述

由图所示,High-Frequency Artifacts 减少了。

但是生成的 trigger 有点发绿,看起来效果一般般

文章二:Backdoor Attack through Frequency Domain

  • Backdoor Attack through Frequency Domain

在这里插入图片描述

五个步骤:

  1. color channel transform from RGB to YUV
  2. discrete cosine transform from spatial domain to frequency domain
  3. trigger generation in the frequency domain
  4. inverse discrete cosine transform from frequency domain to spatial domain
  5. color channel transform from YUV to RGB

FFT:

幅度谱(amplitude spectrum)与相位谱(phase spectrum)

论文阅读-Exploring Frequency Adversarial Attacks for Face Forgery Detection(探索用于人脸伪造检测的频率对抗性攻击
一位不是很硕的鉴伪方向硕士
11-20 2056
虽然现有的人脸伪造分类器在检测伪造图像取得的性能不错,但很容易受到在像素上注入不可感知的扰动的对抗例子的攻击,同时许多人脸伪造检测器总是利用真假人脸之间的频率差异作为关键线索,本文提出一种针对人脸伪造检测器的频率对抗性攻击方法,这种方法更不易被人类察觉,且不会降低原始图像的视觉质量。还提出基于空域和频域混合对抗性攻击,该方法不仅能有效地欺骗基于空间的检测器,还能有效地欺骗基于频域的检测器。
对抗样本鲁棒性——频域角度A FREQUENCY PERSPECTIVE OF ADVERSARIAL ROBUSTNESS
weixin_48654804的博客
11-02 2077
A FREQUENCY PERSPECTIVE OF ADVERSARIAL ROBUSTNESS 这是非常新的一篇文章。来自University of Maryland和Facebook AI Research。 摘要 本文最核心的观点就是: 对抗样本是高频噪声,这一个观点是一个误解。 本文的分析表明,对抗样本既不是高频,也不是低频,而是依赖于数据集。 预备知识 首先本文是说明了一下DCT变换,以及对抗样本的基本公式。 懒得打公式就直接截图了。 DCT 对抗样本表示 就是为了寻找一个扰动 δ\de
ECCV 2022 | 用于对抗攻击频域模型增强方法
Paper weekly
12-09 1608
©作者 |陈兆宇单位 |复旦大学ROILab研究方向|对抗样本论文标题:Frequency Domain Model Augmentation for Adversarial Attack论文来源:ECCV 2022 Oral论文链接:http://arxiv.org/abs/2207.05382原文代码:https://github.com/yuyang-long/SSA解决的问题对于黑...
后门触发器之频域角度——Rethinking the Backdoor AttacksTriggers A Frequency Perspective
weixin_48654804的博客
10-06 1813
Rethinking the Backdoor AttacksTriggers A Frequency Perspective 尚未发布,收录于arxiv—— 论文链接 本文指出,现有的后门攻击频域领域上的研究不足。因此本文提出通过频域信息来辨别后门样本,并以此构建了频域不可见的后门样本。 一个直观的想法就是,后门样本与自然图像的概率分布不同。由于后门样本相比自然图像需要添加特定的trigger pattern,从而触发深度模型给出指定的输出结果。这种添加的特定的trigger pattern,也
CVPR2022 | 医学图像分析中基于频率注入的后门攻击
阿木寺的博客
08-01 1236
点击下方卡片,关注“CVer”公众号AI/CV重磅干货,第一时间送达点击进入—>CV微信技术交流群本工作由京东探索研究院和西北工业大学联合完成,已经被CVPR2022接收。在本文中我们提出了一个基于频域信息注入的后门攻击方法(Frequency-Injection based Backdoor Attack,FIBA)。具体来说,我们设计了一个频域触发器,通过线...
频域后门攻击】An Invisible Black-box Backdoor Attack through Frequency Domain
weixin_51908696的博客
12-05 430
An Invisible Black-box Backdoor Attack through Frequency Domain》生成扰动的方式较为简单但有效,通过对中、高频的幅值加入一定的扰动来生成中毒样本了。
FIBA: Frequency-Injection based Backdoor Attack in Medical Image Analysis(2022 CVPR)
weixin_43856668的博客
10-08 327
之后,提出了基于混合的[3]后门攻击和基于反射的[32]后门攻击,进一步提高了攻击的成功率。一般来说,后门攻击的目的是在 DNN 中嵌入隐藏的后门触发器,以便模型在后门未激活时在良性测试样本上表现良好,但是,一旦后门攻击者激活,预测将更改为攻击者预期的目标标签[3,11,35]。现有的后门攻击根据触发器的可见性可以分为两类:(1) 可见攻击 [11, 26, 34, 43],其中被攻击样本中的触发器对人类可见,以及 (2) 不可见攻击 [3, 21, 35],其中触发器是隐秘的。
AdvDrop——一种通过丢弃频域信息的对抗样本
Monstor_987的博客
10-13 3120
AdvDrop: Adversarial Attack to DNNs by Dropping Information——基于丢弃频域信息的对抗攻击
高频vs低频—频率派对抗防御全总结
AI_Conf的博客
01-26 1569
近年来,对抗攻击与防御的研究为理解深度神经网络提供了一些新的启发,在探究攻击手段和防御方法的同时,我们对网络鲁棒性、泛化性的来源也有了更加深入的认识。本文是梳理了近期图像识别领域对抗攻击与防御的主要工作,是对近期学习的相关论文、综述的集中梳理。 简介 这部分内容将会理清有关对抗攻击和防御的一些关键概念,希望能在日后查阅回顾时有一个清晰的认识,并且能让读者了解该方面工作的关注对象。对抗攻击方法的部分工作观点整理自相关综述[1]、[2],另外的研究大多选自近期阅读关注的工作,因此文献选择受个人偏好和认知局限,.
NARCISSUS: A Practical Clean-Label Backdoor Attack with Limited Information 论文笔记
weiyuxin的博客
11-22 1254
论文笔记#
Frequency constraint-based adversarial attack on DNNS for medical image classification(2023 CIBM)
weixin_43856668的博客
10-18 382
特征空间中语义相似度攻击通过降低对抗样本与其对应的原始样本之间的相似度来生成对抗示例,同时增加了批处理数据集中对抗样本与最不相似样本之间的相似度。目前的医学图像辅助诊断系统在面对攻击时非常脆弱,这些攻击使分类模型几乎失效,在实际应用中造成严重的安全风险。所提出的攻击方法可以作为评估医疗诊断系统鲁棒性的一种方法。引出一种频域角度的防御机制:压缩对抗性图像的高频成分。
论文笔记| 后门攻击|Composite Backdoor Attack for Deep Neural Network byMixing Existing Benign Features
weixin_42097814的博客
07-17 2744
Abstract 背景 Pretrained DNNs may contain backdoors that are injected through poisoned training.These trojaned models perform well when regular inputs are provided, but misclassify to a target output label when the input is stamped with a unique pattern ca
ECCV2022 | SSM | 对抗攻击频域模型增强方法
最新发布
四口鲸鱼爱吃盐的博客
02-10 1533
本文 “Frequency Domain Model Augmentation for Adversarial Attack” 提出了频谱模拟攻击方法,从频域角度增强对抗攻击。通过理论分析和大量实验,验证了该方法在缩小替代模型与目标模型差距、提升对抗样本可转移性方面的有效性。
一种对抗性攻击的方法AdvDrop
weixin_44543648的博客
12-09 1448
AdvDrop: Adversarial Attack to DNNs by Dropping Information论文解读 代码参考:https://github.com/RjDuan/AdvDrop 提出了一种新的对抗性的攻击,名为AdvDrop,它通过丢弃现有的图像信息来制作对抗性的例子。 步骤: 数学表达: D()为DCT函数,Qdiff()为量化函数,Di()为DCT的逆函数。 步骤一 构建block,将图片分为NxN的形式,减少计算成本: def block_splitting(image
Rethinking the trigger of backdoor attack
weixin_48654804的博客
09-06 604
Rethinking the trigger of backdoor attack https://arxiv.org/abs/2004.04692 本文是关于后门攻击论文。本文指出目前的大多数后门攻击的触发集都是属于静态触发集(static trigger),也就是说触发集在训练过程和测试过程的appearance和located都是相同的,也就是指,触发模式都是相同的。 这说明一个问题,触发集的鲁棒性会比正常样本差很多。 可以这样理解,训练过程中样本的数量会很大程度上影响训练的效果。后门样本只有一个形
对抗攻击与防御(2022年顶会顶刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
算法探索之路
03-19 5733
2022年 关于对抗攻击跟防御的全部顶会、顶刊论文
SSDF攻击、防御与展望
XLYcmy的博客
10-18 640
在现有的研究成果中,集中式防御策略比重较大,其中应用较多的主要有以下3类:基于贝叶斯理论的SSDF防御策略、基于加权序贯概率比检测的SSDF防御策略和基于信誉机制的SSDF防御策略。被识别的恶意的和不合适的主用户被限制机会性的设备到设备(D2D)通信。随着无线通信业务的不断发展,频域也越来越成为了一种珍贵的稀缺资源,与此同时,相应的无线电安全问题层出不穷,为无线通信造成了十分恶劣的影响,本文从深入理解认知无线电安全开始,对一些典型的无线电安全防御技术进行介绍,尤其详细介绍SSDF技术的方法与展望。
Deconvolution and Checkerboard Artifacts
Gussss的博客
01-11 1218
在读这篇文章时候的感悟,这篇文章主要讲了出现如下情况( checkerboard pattern )产生的原因   在让神经网络生成图像的时候,通常做法都是从低分辨率开始,因为低分辨率拥有高的语义特征( high-level descriptions)。 然后神经网络可以先大略描述这张图片,然后再随后的层中填充细节。 反卷积的作用:Roughly, deconvolution layer...
Artifacts 瑕疵,频率方面的基础知识,傅里叶变换,卷积 ,从频率的角度看采样,减少走样的方法,深度缓存 Z-Buffer
qq_43157227的博客
10-21 1285
Artifacts 瑕疵,频率方面的基础知识,傅里叶变换,卷积 ,从频率的角度看采样,减少走样的方法,深度缓存 Z-Buffer
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值