【技术实现步骤摘要】
本专利技术涉及深度学习技术安全领域,具体涉及一种基于图像隐写的后门攻击方法。
技术介绍
1、后门攻击旨在将隐藏的后门嵌入深度神经网络(dnn)中,深度学习模型容易受到后门攻击,攻击者的目标是在深度学习模型中注入一个隐藏的后门,使被攻击模型在干净的数据上表现良好,但在包含特定触发器的数据上输出预定义的错误结果。这种威胁可能发生在训练过程没有完全控制的情况下,比如在第三方数据集上进行训练或采用第三方模型,这就构成了现实的威胁。
2、虽然现有的攻击方法是有效的,但它们通常不具有隐蔽性和鲁棒性,即后门触发器不自然且容易被检测到,所以需要一种更加强大且隐蔽的攻击方式。因此具有更加强大的隐蔽性和鲁棒性的后门攻击对促进深度学习安全领域发展有着极为重要的意义。
技术实现思路
1、为了解决
技术介绍
中存在的问题,本专利技术提供以下技术方案:一种基于图像隐写的后门攻击方法,旨在增强后门攻击的隐蔽性和鲁棒性。其包括以下步骤:
2、s1、图像转换并植入触发器:使用离散小波变换(dwt)将图像从空间域转换到频率域,然后将有毒信息进行编码(转为二进制)后植入图像频率域高频部分,再使用离散小波逆变换将频率域的图像转换回空间域;
3、s2、添加用以混淆的噪声:在图像中添加一个噪声或偏移量并进行优化使该噪声或偏移量更隐蔽,该噪声或偏移量作为一个干扰用以混淆真正的触发器;
4、s3、后门攻击:将干净样本和带有触发器的样本混合得到数据集对模型进行训练,实现对模型的攻击。p>
5、具体的,所述s1中离散小波变换是一种信号处理技术,通过将信号分解成不同频率的子信号来分析和表示信号。其中二维离散小波变换(2d dwt)可以将一个二维信号(比如图像)分解为多个低频子带和高频子带。使用离散小波变换(dwt)将图像从空间域转换到频率域后,低频波段的系数描述了图像的显纹理,而高频波段的系数显示了图像的微小纹理。如果高频系数发生变化,人眼不太敏感,也不会容易观察到变化。因此,可以改变高频系数来隐藏秘密数据。将有毒信息转换为二进制后植入图像频率域高频部分作为触发器;然后再使用小波逆变换将图像转换回空间域,得到带有触发器的图像。
6、具体的,所述s2中在图像中可以添加噪声或在图像的rgb通道分别添加偏移量,使用lp范数对其进行约束,量化图像之间的差异;并且使用psnr,ssim和lpips等指标来量化干净样本和带有触发器样本之间的视觉相似度。通过这两种方式使该噪声或偏移量更隐蔽。该噪声或偏移量不作为后门触发器,是用于混淆真正的触发器,使对真正的触发器的检测更加困难。
7、具体的,为了保证s2步骤中添加的噪声或偏移量不会破坏s1步骤中所植入的触发器,可以在最初就对干净图像进行分割,其中一部分用于植入触发器,另一部分用于添加噪声或偏移量,这样就可以保证触发器不被破坏,而且可以实现多目标的攻击结果,使触发器更加隐蔽。
8、具体的,所述s3中后门攻击过程所使用的数据集为干净图像混入一定的比例带有触发器图像形成新的数据集,然后使用该数据集对模型进行训练,以达到攻击的目的。如果需要实现不同的攻击模式,则可以先将图片分割为多个的区域,在其中的部分区域植入触发器,则可以对不同的触发器分别进行激活,得到不同的攻击结果,从而实现不同的攻击模式并且使触发器更加难以清除。
9、本专利技术的有益效果如下:
10、受水印和信息隐藏技术的启发,本专利技术提出了具有隐蔽性和鲁棒性的后门攻击方法。具体来说,首先使用离散小波变换(dwt)将图像从空间域转换到频率域再转换回空间域,在这个过程中将触发器植入频率域以保证隐蔽性和鲁棒性;然后在图像中添加一个噪声或偏移量用以混淆真正的触发器,这样可以进一步提高触发器的隐蔽性和鲁棒性;在这之后就可以对模型进行训练,实现对模型的攻击。本专利技术所提出的后门触发器具有更好的隐蔽性和鲁棒性,这对深度学习中的攻击和防御领域有着重要的理论和实践意义。
本文档来自技高网...【技术保护点】
1.一种基于图像隐写的后门攻击方法,其特征在于增强后门攻击的隐蔽性和鲁棒性,包括以下步骤:
2.根据权利要求1所述的基于图像隐写的后门攻击方法,其特征是:所述S1中离散小波变换是一种信号处理技术,通过将信号分解成不同频率的子信号来分析和表示信号。其中二维离散小波变换(2D DWT)可以将一个二维信号(比如图像)分解为多个低频子带和高频子带。使用离散小波变换(DWT)将图像从空间域转换到频率域后,低频波段的系数描述了图像的显纹理,而高频波段的系数显示了图像的微小纹理。如果高频系数发生变化,人眼不太敏感,也不会容易观察到变化。因此,可以改变高频系数来隐藏秘密数据。将有毒信息转换为二进制后植入图像频率域高频部分作为触发器,然后再使用小波逆变换将图像转换回空间域,得到带有触发器的图像。
3.根据权利要求1所述的基于图像隐写的后门攻击方法,其特征是:所述S2中在图像中可以添加噪声或在图像的RGB通道分别添加偏移量,使用Lp范数对其进行约束,量化图像之间的差异;并且使用PSNR,SSIM和LPIPS等指标来量化干净样本和带有触发器样本之间的视觉相似度。通过这两种方式使
4.根据权利要求1所述的基于图像隐写的后门攻击方法,其特征是:所述S3中后门攻击过程所使用的数据集为干净图像混入一定的比例带有触发器图像得到新的数据集,然后使用该数据集对模型进行训练,以达到攻击的目的。如果需要实现不同的攻击模式,则可以先将图片分割为多个的区域,在其中的部分区域植入触发器,则可以对不同的触发器分别进行激活,得到不同的攻击结果,从而实现不同的攻击模式并且使触发器更加难以清除。
...【技术特征摘要】
1.一种基于图像隐写的后门攻击方法,其特征在于增强后门攻击的隐蔽性和鲁棒性,包括以下步骤:
2.根据权利要求1所述的基于图像隐写的后门攻击方法,其特征是:所述s1中离散小波变换是一种信号处理技术,通过将信号分解成不同频率的子信号来分析和表示信号。其中二维离散小波变换(2d dwt)可以将一个二维信号(比如图像)分解为多个低频子带和高频子带。使用离散小波变换(dwt)将图像从空间域转换到频率域后,低频波段的系数描述了图像的显纹理,而高频波段的系数显示了图像的微小纹理。如果高频系数发生变化,人眼不太敏感,也不会容易观察到变化。因此,可以改变高频系数来隐藏秘密数据。将有毒信息转换为二进制后植入图像频率域高频部分作为触发器,然后再使用小波逆变换将图像转换回空间域,得到带有触发器的图像。
3.根据权利要求1所述的基于图像隐写的后门攻...
【专利技术属性】
技术研发人员:陈自刚,王章琦,成宇,柳颖蓉,谢德洋,周云龙,朱海华,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。