Rethinking the Backdoor Attacks’ Triggers A Frequency Perspective

尚未發(fā)布，收錄于arxiv—— 論文鏈接

本文指出，現(xiàn)有的后門攻擊在頻域領(lǐng)域上的研究不足。因此本文提出通過(guò)頻域信息來(lái)辨別后門樣本，并以此構(gòu)建了頻域不可見(jiàn)的后門樣本。

一個(gè)直觀的想法就是，后門樣本與自然圖像的概率分布不同。由于后門樣本相比自然圖像需要添加特定的trigger pattern，從而觸發(fā)深度模型給出指定的輸出結(jié)果。這種添加的特定的trigger pattern，也許能夠在頻域上表達(dá)出來(lái)。
本文結(jié)果也證實(shí)了這一點(diǎn)，后門樣本相比正常樣本，會(huì)在頻域上存在高頻偽影。通過(guò)高頻偽影能夠達(dá)到98.50%的后門檢出率。

高頻偽影

本文首先使用DCT（離散余弦變換）將樣本轉(zhuǎn)換到頻域。然后繪制熱力圖。研究發(fā)現(xiàn)，自然圖像的能量大多集中在低頻部分，而后門樣本中往往存在較多的高頻部分信息。
將一個(gè)trigger pattern添加到圖像上，就相當(dāng)于將trigger pattern的頻域信息插入正常圖像的頻域。

比如下圖就是正常樣本與后門樣本的頻域?qū)Ρ取Ｏ聢D中，上半部分是從cifar10中取10000張圖片生成獲得的平均頻域圖。下半部分從PubFig中取1000張獲得的平均頻域圖。

后門檢測(cè)

有了【頻域】這一信息，就可以利用這一區(qū)別來(lái)進(jìn)行后門樣本的檢出。
本文使用的是監(jiān)督學(xué)習(xí)的方式。因此也就是常見(jiàn)的二分類了。
方式：

• 數(shù)據(jù)集：1、使用正常樣本。2、對(duì)正常樣本進(jìn)行操作，生成存在高頻偽影的樣本作為后門樣本。后門樣本的生成就多種多樣了——隨機(jī)添加白色塊彩色塊噪聲，隨機(jī)混合隨機(jī)陰影等等方式。這些方式最好和正常的后門樣本構(gòu)建的方式存在相似。數(shù)據(jù)集的構(gòu)建就是核心
• 一個(gè)枯燥范圍沒(méi)有新意的訓(xùn)練過(guò)程。

結(jié)果：
98.5%的后門樣本檢出率。

這一步我是存在疑慮的。這一步其實(shí)和——之前說(shuō)道的頻域的關(guān)系不大，其實(shí)就是使用正常樣本，和現(xiàn)存的后門樣本的實(shí)現(xiàn)，做一個(gè)二分類就行了。所以頻域的信息的描述沒(méi)什么用處。
可能論文是對(duì)圖像樣本進(jìn)行DCT轉(zhuǎn)換之后再進(jìn)行訓(xùn)練的吧，但是文中沒(méi)有提及。

之后還對(duì)這種檢測(cè)方式對(duì)不同訓(xùn)練集的遷移性進(jìn)行了實(shí)驗(yàn)，得出較為滿意的結(jié)果。

創(chuàng)建平滑的觸發(fā)器 Creating Smooth Triggers

平滑樣本——也就是減少樣本的高頻信息——的創(chuàng)建，是基于優(yōu)化的方式進(jìn)行的。這【PS：是因?yàn)?#xff0c;直接設(shè)計(jì)的成功率不高】
看公式可以看出，就是正常的后門樣本訓(xùn)練的優(yōu)化目標(biāo)函數(shù)，加上 一個(gè)約束項(xiàng)。這個(gè)約束項(xiàng)的目的就是懲罰高頻。

改寫目標(biāo)函數(shù)

這里$r=\delta ?g$，其結(jié)果是擾動(dòng)與低通濾波器卷積后的結(jié)果。

通過(guò)這種方式構(gòu)建出的后門樣本，可以看出，不存在高頻偽影

然后
從決策邊界來(lái)看。使用低通濾波器設(shè)計(jì)的后門樣本與正常樣本的距離更近，這意味著它更難被檢測(cè)。
防御方式就是：使用低通濾波器設(shè)計(jì)的后門樣本，加入訓(xùn)練集，進(jìn)行訓(xùn)練微調(diào)。

個(gè)人感覺(jué)對(duì)該后門樣本的檢測(cè)實(shí)驗(yàn)較少，僅僅使用了Detecting AI trojans using meta neural analysis這篇論文中的方式。關(guān)于這篇論文我沒(méi)有看過(guò)，就不予評(píng)價(jià)了。

總結(jié)

本文考慮了頻域的角度，提出了一種【換湯不換藥】的后門檢測(cè)方式，以及一種新的后門樣本生成方式。

總結(jié)

以上是生活随笔為你收集整理的后门触发器之频域角度——Rethinking the Backdoor Attacks’ Triggers A Frequency Perspective的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。