一种面向预训练编码器的不可见后门攻击方法技术

本发明专利技术公开了一种面向预训练编码器的不可见后门攻击方法，包括：攻击者使用高斯滤波器对原始图像进行高频部分的去除，得到去除高频后的图像；攻击者为去除高频后的图像都添加水印，得到编码后的中毒图像；攻击者为干净编码器的预训练集中的部分图像添加水印得到后门数据集，并使用该后门数据集对预训练的干净编码器进行微调以注入后门得到后门编码器。本发明专利技术在添加触发器前将图像的高频部分去除以提高后门图像间的相似性，并且该攻击使用动态不可见的触发模式，使得攻击的隐蔽性极强，从而显著增强了抵抗防御的鲁棒性，同时能够实现很高的攻击成功率，不影响后门模型在干净数据集上的预测准确率，使得该攻击难以被防御。

【技术实现步骤摘要】

本专利技术涉及图像处理的，尤其涉及一种面向预训练编码器的不可见后门攻击方法。

技术介绍

1、作为一种新兴的机器学习范式，自监督学习(ssl)不仅能够消除对数据标记的依赖，还通过使对手操纵模型预测更具挑战性而有利于对抗鲁棒性。然而，ssl的性能在很大程度上依赖于大规模未标记数据，这使得计算成本相当高。因此，通常用户更倾向于使用第三方在线发布的预先训练过的编码器作为特征提取器，应用于后续的分类任务。然而，获取完全可信的编码器是非常困难的，因为培训过程通常是不透明的，这为新的安全威胁带来了潜在风险。后门攻击是其中一种常见的威胁，它通过事先在编码器中注入后门，从而使得基于该编码器构建的下游分类器同时继承了后门行为。

2、目前已存在的后门攻击可以分为两类主要类型：基于数据投毒的攻击和基于模型的攻击。在这些攻击中，有学者首次研究了自监督学习场景下的数据投毒型后门攻击，他们假设攻击者能够污染训练数据的一小部分，但无法对训练过程进行任何控制。这些攻击的后门样本的触发模式的添加位置是随机的。然而，在大多数情况下，这些攻击的性能接近于随机猜测，其后门攻击成功率相对本文档来自技高网...

【技术保护点】

1.一种面向预训练编码器的不可见后门攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的面向预训练编码器的不可见后门攻击方法，其特征在于：所述水印编码器et、干净编码器e、后门编码器e′和下游分类器classifier均为多层卷积神经网络。

3.根据权利要求1所述的面向预训练编码器的不可见后门攻击方法，其特征在于：步骤S1中，所述高斯低通滤波器滤波公式为：

4.根据权利要求3所述的面向预训练编码器的不可见后门攻击方法，其特征在于，步骤S2包括如下子步骤：

5.根据权利要求4所述的面向预训练编码器的不可见后门攻击方法，其特征在于，步...

【技术特征摘要】

1.一种面向预训练编码器的不可见后门攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的面向预训练编码器的不可见后门攻击方法，其特征在于：所述水印编码器et、干净编码器e、后门编码器e′和下游分类器classifier均为多层卷积神经网络。

3.根据权利要求1所述的面向预训练编码器的不可见后门攻击方法，其特征在于：步骤s1中，所述高斯低通滤波器滤波公式为：

4.根据权利要求3所述的面向预训练编码器的不可见后门攻击方法，其特征在于，步骤s2包括如下子步骤：

5.根据权利要求4所述的面向预训练编码器的不可见后门攻击...

【专利技术属性】
技术研发人员：方黎明，王倩楠，殷常春，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：