一种基于非活跃频率注入的神经网络后门攻击方法技术

本发明专利技术公开了一种基于非活跃频率注入的神经网络后门攻击方法，将目标攻击类别图像的频率均值设计为后门触发模式，增强了后门攻击的隐蔽性。为了削弱后门信息在样本中注入会对样本中的良性分类信息产生影响，选择数据集的非活跃频率作为后门触发模式的注入掩码区域，以实现本发明专利技术攻击的后门模型将中毒样本识别为目标攻击类别的同时，能正常识别其余干净样本，从而使得后门攻击在神经网络模型中潜伏更难被察觉。本发明专利技术在仅可访问与修改训练数据的场景下，实现了更强的后门攻击性能，提高了后门攻击的隐蔽性，可以成功抵御现有后门防御方法。法。法。

【技术实现步骤摘要】
一种基于非活跃频率注入的神经网络后门攻击方法


[0001]本专利技术属于深度学习
，具体涉及一种神经网络后门攻击方法。

技术介绍

[0002]以深度神经网络模型为基础的人工智能技术迅速发展，在机器翻译、语音识别、场景分类和目标检测等任务领域中取得了优于传统算法的成绩。然而，由于深度神经网络的黑盒特性，其决策行为逻辑缺乏可解释性和透明性，使得深度神经网络的使用具有安全隐患，最近的研究表明神经网络模型易遭受攻击。神经网络攻击具体是指攻击者通过一定手段操纵网络模型做出错误决策的破坏性行为。目前针对深度神经网络的攻击方式可以分为三类：对抗攻击、投毒攻击和后门攻击。对抗攻击作用于在模型推理阶段，通过向干净样本中添加微小扰动噪声或补丁图案，诱导神经网络做出指定决策。对抗攻击需要在神经网络推理决策阶段对模型信息进行大量的访问才能构建出可误导模型的对抗样本，且只生成单一样本的对抗噪声。投毒攻击作用于模型训练阶段，通过添加恶意错误数据污染训练集从而降低模型的准确性，但却无法指定模型对特定样本做出指定的决策。
[0003]后门攻击是一种在神经网络模型实际部署之前进行的攻击，其通过对训练数据或网络模型的修改在神经网络中注入后门信息，在模型部署后的推理阶段不需要再访问模型，输入携带特定触发器的样本便可直接激活模型中的后门，从而使模型错误决策，完成攻击。随同硬件设备计算与存储能力的提升，具有先进性能的神经网络模型所需训练数据规模、模型参数尺寸也越来越大，这使得训练数据与模型参数难以人工检测安全性。此外，攻击中对数据的修改往往微小到难以察觉，模型单一参数也不具有实际意义，不可分析异常。这些特性都为后门攻击的成功实施创造了条件，使后门攻击对神经网络模型极具威胁。
[0004]虽然后门攻击已被验证对神经网络模型有效，但在仅可访问与修改训练数据的场景下，现有方法大都在图像的空间域注入后门触发器，基于空间域的触发器往往能量集中，模式明显，很难找到一个视觉难以察觉但神经网络模型容易学习的后门触发模式。同时，目前大多数后门防御方法都在空间域对触发器进行检测，这导致基于空间域的后门攻击，可以用通用方法进行防御。此外，一些在频域分析神经网络的工作也证明，当扰动被添加到图像频域时，转换到空间域后能量被分散，对图像只造成极小变化，很难被视觉发现，但学习频域特征的变化对神经网络来说却较为容易。
[0005]现有技术中，在仅可访问与修改训练数据的场景下，神经网络后门攻击的方案如下：
[0006](1)设计、生成后门触发器；
[0007](2)选择训练数据集中的部分干净样本，在这些样本中添加后门触发器，生成中毒样本，中毒样本与剩余干净样本共同构成中毒数据集；
[0008](3)用中毒数据集训练要攻击的深度神经网络模型，从而注入后门；
[0009](4)在模型使用的推理阶段中，攻击者通过在输入样本中添加触发器，激活中毒模型中的后门，使模型做出指定错误决策，从而最终实现攻击。
[0010]上述4个步骤中。第(3)步由神经网络模型开发者正常完成，不需要攻击者参与干涉(攻击者没有访问模型与训练模型的权限)。
[0011]在该场景下，不同的后门攻击方法的差别主要在于第(1)步，现有技术设计的后门触发器大都为在空间域中的视觉可见图像，例如在图像样本的固定位置添加白色小方块。
[0012]现有方法大都在图像的空间域注入后门触发器，基于空间域的触发器往往能量集中，模式明显，很难找到一个视觉难以察觉但神经网络模型容易学习的后门触发模式。同时，目前大多数后门防御方法都在空间域对触发器进行检测，这导致基于空间域的后门攻击，可以用通用方法进行防御。
[0013]现有技术的缺陷总结为：
[0014](1)隐蔽性较差，不利于后门注入行为实现；
[0015](2)可被现有通用方法防御，攻击实现后也易被检测和清除。

技术实现思路

[0016]为了克服现有技术的不足，本专利技术提供了一种基于非活跃频率注入的神经网络后门攻击方法，将目标攻击类别图像的频率均值设计为后门触发模式，增强了后门攻击的隐蔽性。为了削弱后门信息在样本中注入会对样本中的良性分类信息产生影响，选择数据集的非活跃频率作为后门触发模式的注入掩码区域，以实现本专利技术攻击的后门模型将中毒样本识别为目标攻击类别的同时，能正常识别其余干净样本，从而使得后门攻击在神经网络模型中潜伏更难被察觉。本专利技术在仅可访问与修改训练数据的场景下，实现了更强的后门攻击性能，提高了后门攻击的隐蔽性，可以成功抵御现有后门防御方法。
[0017]本专利技术解决其技术问题所采用的技术方案包括如下步骤：
[0018]步骤1：从神经网络模型的训练数据集中随机选取部分样本作为要污染的中毒样本集其余样本作为干净样本集
[0019]步骤2：使用离散余弦变换DCT将神经网络模型的训练数据集中每一个属于目标攻击类别的样本进行空间域到频域的变换，对这些样本的频域数据取均值得到后门触发模式
[0020]步骤3：将中毒样本集中的每一个样本转换为频域，注入后门触发模式然后使用反离散余弦变换IDCT转换为空间域图像，生成中毒样本，与干净样本集共同构成中毒数据集
[0021]步骤4：在神经网络模型部署后，向输入样本中注入后门触发模式激活网络模型中的后门，使模型做出指定错误决策。
[0022]优选地，所述训练数据集为CIFAR
‑
10数据集。
[0023]优选地，所述步骤2具体为：
[0024]设定目标攻击类别为t，使用离散余弦变换DCT将训练数据集中每一个属于类别t的样本x从空间域图像转换为频域数据X＝DCT(x)，N1和N2为样本x的尺寸大小，具体如下：
[0025][0026]其中x(n1,n2)是x在索引(n1,n2)处的值，X(ω1,ω2)为X在相应的频段(ω1,ω2)上的频率振幅，在样本的三个通道分别进行上述计算；c
i
(n
i
,ω
i
)，i＝1,2的计算如下式所示：
[0027][0028]对所有目标类别t的样本的频域数据计算均值，得到后门触发模式公式如下所示，K为训练数据集中属于目标攻击类别t的样本总数：
[0029][0030]优选地，所述步骤3具体为：
[0031]步骤3
‑
1：使用DCT将训练数据集中的每一个样本x转换为频域X＝DCT(x)，并对不同样本间在同一频率的幅值求均值N为训练数据集中的样本总数；计算不同样本间在同一频率的幅值的方差取方差var中值最小的25％的频率作为后门注入掩码
[0032]步骤3
‑
2：使用DCT将中毒样本集中的每一个样本转换为频域，并在后门注入掩码对应的频率使用后门触发模式替换样本的原数据，注入后门信息，得到
[0033]步骤3
‑
3：对注入后门信息的频域样本使用反离散余弦变换IDCT转换为空间域图像x
′
，x
...

【技术保护点】

【技术特征摘要】
1.一种基于非活跃频率注入的神经网络后门攻击方法，其特征在于，包括以下步骤：步骤1：从神经网络模型的训练数据集中随机选取部分样本作为要污染的中毒样本集其余样本作为干净样本集步骤2：使用离散余弦变换DCT将神经网络模型的训练数据集中每一个属于目标攻击类别的样本进行空间域到频域的变换，对这些样本的频域数据取均值得到后门触发模式步骤3：将中毒样本集中的每一个样本转换为频域，注入后门触发模式然后使用反离散余弦变换IDCT转换为空间域图像，生成中毒样本，与干净样本集共同构成中毒数据集步骤4：在神经网络模型部署后，向输入样本中注入后门触发模式激活网络模型中的后门，使模型做出指定错误决策。2.根据权利要求1所述的一种基于非活跃频率注入的神经网络后门攻击方法，其特征在于，所述训练数据集为CIFAR
‑
10数据集。3.根据权利要求1所述的一种基于非活跃频率注入的神经网络后门攻击方法，其特征在于，所述步骤2具体为：设定目标攻击类别为t，使用离散余弦变换DCT将训练数据集中每一个属于类别t的样本x从空间域图像转换为频域数据X＝DCT(x)，N1和N2为样本x的尺寸大小，具体如下：其中x(n1,n2)是x在索引(n1,n2)处的值，X(ω1,ω2)为X在相应的频段(ω1,ω2)上的频率振幅，在样本的三个通道分别进行上述计算；c
i
(n
i
,ω
i
)，i＝1,2的计算如下式所示：对所有目标类别t的样本的频域数据计算均值，得到后门触发...

【专利技术属性】
技术研发人员：蒋雯，邓鑫洋，肖陶，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：