申请/专利权人：西南交通大学

申请日：2023-12-14

公开（公告）日：2024-04-30

公开（公告）号：CN117951690A

主分类号：G06F21/55

分类号：G06F21/55;G06N3/08

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.17#实质审查的生效;2024.04.30#公开

摘要：本发明公开了一种低频触发器高频注入的随机频域扰动后门攻击方法，包括三个阶段：攻击阶段，攻击者通过注入频域触发器来毒化干净样本，引入后门攻击的元素；训练阶段，用户采用含有少量毒化样本的毒化数据集训练受害模型，通过映射毒化样本和目标标签的方式将后门模式注入模型，使得模型在后续推理阶段对特定触发条件的样本产生恶意行为；推理阶段，训练完成的受害模型即毒化模型，在良性测试样本上表现正常，然而，对于Freqtrigger毒化后的测试样本，其预测结果将变成目标标签，达到后门攻击的效果。本发明实现了高攻击成功率和高隐蔽性，具有很大的灵活性，在不同数据集、网络架构和触发器方面具有稳健性和通用性。

主权项：1.一种低频触发器高频注入的随机频域扰动后门攻击方法，其特征在于，包括三个阶段：a攻击阶段，攻击者通过注入频域触发器来毒化干净样本，引入后门攻击的元素；后门攻击者将干净样本与颜色块mi一同转换到频域，通过频域触发器后门攻击Freqtrigger得到mi对应的频域触发器，然后将该触发器添加到干净样本的频谱图上，引入扰动；将扰动后的样本通过离散二维傅里叶变换转换回空间域，生成的样本的标签被设置为目标标签y'，从而形成了毒化后的样本；b训练阶段，用户采用含有少量毒化样本的毒化数据集训练受害模型，通过映射毒化样本和目标标签的方式将后门模式注入模型，使得模型在后续推理阶段对特定触发条件的样本产生恶意行为；假设训练集表示为Dtrain，目标类所在子集为Dtarget，其余类子集为Dres，其中Dtrain＝Dtarget∪Dres，那么攻击者将选择Dres的子集用于毒化，当Dtrain中注入了毒化的数据子集后，即转变为毒化数据集Dpoisoned，只有在Dres被完全毒化时，才进一步考虑毒化目标类子集；通过以上方式生成的毒化后的数据集Dpoisoned，将被用户获取并在受害模型上进行标准的训练，毒化数据集的存在导致了以下损失函数： 其中，表示损失函数，可以是交叉熵损失函数，θ表示模型的参数，x,y表示干净的数据和标签，x′,y′表示毒化的数据和目标标签；最小化损失函数看成是一个联合优化的过程，模型同时学习干净数据和毒化数据，通过最小化干净数据的输出与干净标签的距离，模型朝着正确的方向收敛，确保对自然特征的正确学习；同时，通过最小化毒化数据的输出与目标标签的距离，模型逐渐将后门模式嵌入其中，实现对后门模式的有效学习；c推理阶段，训练完成的受害模型即毒化模型，在良性测试样本上表现正常，然而，对于Freqtrigger毒化后的测试样本，其预测结果将变成目标标签，达到后门攻击的效果；训练完成的受害模型即毒化模型，执行过程中会将干净样本预测为正确的类，表现出高预测正确率，满足用户的预期要求以进行后续的部署工作；当面对攻击者毒化后的样本时，毒化模型中的后门模式将被毒化样本中的触发器激活，预测结果为目标类别，导致预测结果为目标类别，进而达到高攻击成功率，最终实现后门攻击的目标。

全文数据：

权利要求：

百度查询： 西南交通大学 一种低频触发器高频注入的随机频域扰动后门攻击方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD