《Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review》阅读笔记

最新推荐文章于 2025-10-31 11:18:50 发布
原创 最新推荐文章于 2025-10-31 11:18:50 发布 · 2.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了后门攻击在深度学习领域的兴起,涵盖了与Adversarial Example、UAP和Datapoisoning的区别,攻击的多种方式如代码中毒、外包训练等,以及后门分类的类型和防御策略,包括盲除后门、在线检测和水印保护的应用。

Backdoor Attacks and Countermeasures on Deep Learning: A Comprehensive Review

最初的后门攻击主要集中在计算机视觉领域,但是也已经扩展到其他领域。例如文本、音频、基于ML的计算机辅助设计、基于ML的无线信号分类等。

区分

1.与Adversarial Example的区别

1)攻击的pipeline不同
2)对抗样本对每个输入进行精心设计不同的扰动,而后门攻击可以使用相同的触发器应用于将任何输入
3)后门触发器为攻击者提供了最大的灵活性。 因此,攻击者可以完全控制将物理场景转换为有效的对抗输入

2.与UAP的区别

UAP可以产生类似后门攻击的效果,将其加到任意输入都可以导致误分类
和Universal Adversarial Patch(UAP)相比的不同:
UAP是是DL模型的固有属性,即使是干净的或没有后门的模型也会存在。
触发器是任意的,而精心制作的UAP并非任意的。因此,触发器由攻击者完全控制,而UAP取决于模型。
通过后门触发器的攻击成功率通常比UAP高得多,尤其是在攻击者要发动定向攻击时。

3.与Data poisoning attack数据投毒攻击区别

数据投毒对于所有输入都会降低准确性,也称可用性攻击。
1)虽然可以通过数据中毒来实现后门攻击,但后门攻击保留了其主要任务的良性样本的推理准确性,并且仅在trigger触发的情况下才秘密地进行恶意行为。
2) 常规中毒攻击没有针对性。 换句话说,它不在乎哪个类别的准确性被错误分类或破坏。 相比之下,后门攻击通常是有针对性的攻击-触发输入被错误分类为攻击者的目标类别。

攻击面

在这里插入图片描述

1.代码中毒code poisoning

直接在公共的DL框架(Caffe,Tensorflow,Torch)中找漏洞。这种攻击攻击假设最弱,不需访问训练数据、模型架构等,但是可能会影响最大。

2.OutSourcing外包

由于没有ML技能或者缺少相应计算资源,可能会将模型训练过程外包给第三方,这种情况下,虽然用于定义架构、提供训练数据,但是在将训练外包给Machine Learning as a Services(MLaaS)时,MLaas在训练阶段可能对ML模型添加后门

3.Pretrained预训

最低0.47元/天 解锁文章
A Survey of Backdoor Attacks and Defenses on Large Language Models
c_cpp_csharp的专栏
10-01 356
大型语言模型 (LLM) 弥合了人类语言理解和复杂问题解决之间的差距,在多项 NLP 任务上实现了最先进的性能,特别是在少样本和零样本设置中。尽管 LMM 的功效显而易见,但由于计算资源的限制,用户必须使用开源语言模型或将整个训练过程外包给第三方平台。然而,研究表明,语言模型容易受到潜在安全漏洞的影响,特别是在后门攻击中。后门攻击旨在通过毒害训练样本或模型权重,将目标漏洞引入到语言模型中,从而使攻击者能够通过恶意触发器操纵模型响应。
论文阅读(一): Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses
lzh804121985的博客
03-19 1166
根据触发器的设计方式,最近的一项工作提出了两种攻击:Rand-GCBA和Rand-GDBA,其中前置“Rand”意味着恶意客户端随机生成触发器的形状,并从其干净的图中随机选择节点作为注入触发器的位置。每个恶意客户端i都有自己的本地触发器ki,测试期间,所有恶意客户端的触发器{ki}将合并为一个触发器,因为合并的触发器包含了各个用户触发器的结构,所以会触发。Rand:恶意客户端随机生成触发器的形状,并从其干净的图形中随机选择节点作为注入触发器的位置。表示,本文关心的是图分类问题,每个。
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
m0_57572083的博客
10-25 2921
BadDet: Backdoor Attacks on Object Detection——面向目标检测的后门攻击
Label-Consistent Backdoor Attacks
austinyxx的博客
03-01 4617
By injecting a small number of maliciously constructed inputs into the training set, an adversary is able to plant a backdoor into the trained model.
Split learning后门攻击(附代码)
最新发布
欢迎来到道的世界
10-31 910
随后,服务端将损失的梯度信息返回给客户端,客户端根据该梯度更新自身模型参数,同时服务端也更新自己的模型参数。下图为该论文总括图,图的上半部分为Split Learning的正常训练流程:客户端对本地样本做前端处理并生成中间特征,发送到服务器端后段模型进行预测并计算损失,服务器再将梯度反馈给客户端,协同完成主任务训练;攻击者控制一个或多个客户端,在训练阶段通过修改部分样本并引入额外的辅助任务,使客户端模型学习到“后门特征编码能力”,从而在推理阶段只对带触发器的输入输出攻击者预设的目标标签。
【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)
chadlee
07-18 970
这种RandomizedSubsampling的防御方法可以一定程度上降低攻击效果,但是和数据集、triggersize有很大关系,当triggersize大于某个阈值的时候,CertifiedDefense就完全失效了,这就是GNN里CertifiedDefense的安全半径。作者尝试用相同的参数fixtrigger或者多生成几种randomtrigger,发现指标影响不大,降低的很少,作者解释说GNN可以把结构相似的trigger和label联系在一起。控制trigger子图的四个参数。...
【学习】backdoor attacks、Adversarial Attack on Images、Adversarial Attack on Audio
Raphael9900的博客
01-01 5374
李宏毅深度学习
反知识蒸馏后门攻击:Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation
weixin_48654804的博客
01-19 6276
Ge, Yunjie, et al. “Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive in Knowledge Distillation.” Proceedings of the 29th ACM International Conference on Multimedia. 2021. Anti-Distillation Backdoor Attacks: Backdoors Can Really Survive i..
Attacks and Defenses for Generative DiffusionModels: A Comprehensive Survey--阅读笔记
小羊不会飞的博客
04-25 695
扩散模型在生成能力上的突破带来了新的安全挑战。后门攻击、对抗攻击和成员推理攻击分别威胁模型的可靠性、安全性和隐私性。随着扩散模型的广泛应用,安全性研究不仅是学术课题,更是确保技术社会效益的关键。扩散模型(DMs)是一类基于深度学习的生成模型,通过学习逐步去噪的过程从随机噪声生成数据。​:通过微小扰动(图像、文本或微调数据)干扰模型,导致生成低质量、敏感内容或偏离用户意图的结果。​:在模型中植入隐藏的触发器,使特定输入(触发条件)生成攻击者预设的输出。​:判断某个样本是否被用于模型的训练数据,威胁数据隐私。
【论文阅读笔记DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection
leticia_m的博客
02-21 1303
论文阅读笔记DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection,区分中毒客户端模型与良性客户端模型
深度学习中的后门攻击详解:原理、形式与防御方法
m0_62593409的博客
11-12 6333
后门攻击是指攻击者在模型的训练过程中,以某种方式在训练数据中嵌入特定的触发模式(Trigger),使得模型在接收到这种触发模式时表现出特定的错误行为,而在其他情况下,模型仍然正常工作。具体来说,攻击者在训练数据中添加带有特定触发条件的样本,使得模型在输入正常数据时能正常分类,但一旦输入的样本包含触发条件,模型就会产生预期的错误输出。这样的攻击非常隐蔽,难以察觉。深度学习中的后门攻击对模型的安全性构成了重大威胁,尤其是在模型广泛应用于安全敏感领域时。
split-learning-1d-cnn:论文的源代码“我们可以在1D CNN上使用拆分学习进行隐私保护培训吗?”-Source code learning
03-25
我们可以在1D CNN上使用拆分学习进行隐私保护培训吗? 注意:此仓库包含我们对以下ACM ASIACCS 2020论文的实施。 如果您觉得有用,请使用以下引文引用我们的论文。 Sharif Abuadbba,Kyuyeon Kim,Minki Kim,Chandra Thapa,Seyit A.Camtepe,Yansong Gao,Hyoungshick Kim,Surya尼泊尔,“我们可以在1D CNN模型上使用拆分学习进行隐私保护培训吗?”,第15届ACM ASIA亚洲计算机会议和通讯安全(ACM ASIACCS 2020),台湾台北,2020年6月1日至6月5日 现在有空: 我们的一维CNN拆分学习模型及其准确性结果。 我们预处理过的MIT心律失常ECG数据库的训练/测试样本。 我们的隐私泄漏3测量结果是使用视觉可逆性得出的; 距离相关和动态时间扭曲。 我们提出了两个
论文研究-Improving Text Models with Latent Feature Vector Representations.pdf
08-22
基于潜在特征向量的文本表示模型改进,彭怀瑾,王晶,概率主题模型被广泛应用于文本潜在主题的发现,而潜在特征的向量表示则被广泛应用于自然语言处理任务中以实现高性能的文本表示。
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 7278
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
使用语义触发器发起不可见后门攻击
m0_56222998的博客
03-13 1589
使用语义触发器发起不可见后门攻击
Backdoor Learning: A Survey 后门攻击-论文笔记
仙猪的博客
09-22 5677
将隐藏的后门嵌入到深度神经网络(DNNs)中,从而使被攻击的模型在良性样本上表现良好,而如果隐藏的后门被攻击者指定的触发器激活,它们的预测将会被恶意地改变。当培训过程没有得到完全控制时,这种威胁就会发生,如对第三方数据集的培训或采用第三方模型,这就构成了一种新的和现实的威胁
文献综述|NLP领域后门攻击、检测与防御
Meiling_up
08-14 8337
文献综述|NLP领域后门攻击、检测与防御
【论文阅读Backdoor learning: A survey 后门学习的总结
m0_53662700的博客
01-28 2293
三、基于中毒的攻击A.基于中毒的攻击的。
直播 | 清华大学李一鸣:后门攻击简介
Paper weekly
01-19 1808
「AI Drive」是由 PaperWeekly 和 biendata 共同发起的学术直播间,旨在帮助更多的青年学者宣传其最新科研成果。我们一直认为,单向地输出知识并不是一个最好的方式,...
CrowdGuard: Federated Backdoor Detection in Federated Learning
09-11
由于没有提供具体的参考引用内容,以下是基于通用知识对CrowdGuard在联邦学习中联邦后门检测的介绍。 在联邦学习场景中,后门攻击是一种严重...print("Suspected backdoor trigger samples:", suspected_samples) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值