本發(fā)明公開了一種基于目標(biāo)特征增強生成網(wǎng)絡(luò)的神經(jīng)網(wǎng)絡(luò)后門攻擊方法，該方法針對現(xiàn)有基于生成網(wǎng)絡(luò)的后門攻擊對于要攻擊的神經(jīng)網(wǎng)絡(luò)模型信息利用不足的問題，提出將目標(biāo)類樣本在要攻擊的神經(jīng)網(wǎng)絡(luò)模型中的特征均值引入生成網(wǎng)絡(luò)的解碼器，引導(dǎo)訓(xùn)練，減小后門觸發(fā)器的噪聲并提升觸發(fā)器對輸入樣本的自適應(yīng)性。本發(fā)明還提出使用一種三階段的后門模型生成策略，通過依次執(zhí)行神經(jīng)網(wǎng)絡(luò)模型預(yù)訓(xùn)練、后門觸發(fā)器生成網(wǎng)絡(luò)優(yōu)化、后門模型中毒訓(xùn)練三個階段，實現(xiàn)完整的后門攻擊過程，進(jìn)一步完善觸發(fā)器生成網(wǎng)絡(luò)的訓(xùn)練與后門信息的注入。本發(fā)明相較于現(xiàn)有后門攻擊方法具有出色的綜合性能。

技術(shù)領(lǐng)域

本發(fā)明屬于深度學(xué)習(xí)技術(shù)領(lǐng)域，具體涉及一種基于目標(biāo)特征增強生成網(wǎng)絡(luò)的神經(jīng)網(wǎng)絡(luò)后門攻擊方法。

背景技術(shù)

以深度神經(jīng)網(wǎng)絡(luò)模型為基礎(chǔ)的人工智能技術(shù)迅速發(fā)展，在機器翻譯、語音識別、場景分類和目標(biāo)檢測等任務(wù)領(lǐng)域中取得了優(yōu)于傳統(tǒng)算法的成績。然而，由于深度神經(jīng)網(wǎng)絡(luò)的黑盒特性，其決策行為邏輯缺乏可解釋性和透明性，使得深度神經(jīng)網(wǎng)絡(luò)的使用具有安全隱患，最近的研究表明神經(jīng)網(wǎng)絡(luò)模型易遭受攻擊。神經(jīng)網(wǎng)絡(luò)攻擊具體是指攻擊者通過一定手段操縱網(wǎng)絡(luò)模型做出錯誤決策的破壞性行為。目前針對深度神經(jīng)網(wǎng)絡(luò)的攻擊方式可以分為三類：對抗攻擊、投毒攻擊和后門攻擊。對抗攻擊作用于在模型推理階段，通過向干凈樣本中添加微小擾動噪聲或補丁圖案，誘導(dǎo)神經(jīng)網(wǎng)絡(luò)做出指定決策。對抗攻擊需要在神經(jīng)網(wǎng)絡(luò)推理決策階段對模型信息進(jìn)行大量的訪問才能構(gòu)建出可誤導(dǎo)模型的對抗樣本，且只生成單一樣本的對抗噪聲。投毒攻擊作用于模型訓(xùn)練階段，通過添加惡意錯誤數(shù)據(jù)污染訓(xùn)練集從而降低模型的準(zhǔn)確性，但卻無法指定模型對特定樣本做出指定的決策。

后門攻擊是一種在神經(jīng)網(wǎng)絡(luò)模型實際部署之前進(jìn)行的攻擊，其通過對訓(xùn)練數(shù)據(jù)或網(wǎng)絡(luò)模型的修改在神經(jīng)網(wǎng)絡(luò)中注入后門信息，在模型部署后的推理階段不需要再訪問模型，輸入攜帶特定觸發(fā)器的樣本便可直接激活模型中的后門，從而使模型錯誤決策，完成攻擊。隨同硬件設(shè)備計算與存儲能力的提升，具有先進(jìn)性能的神經(jīng)網(wǎng)絡(luò)模型所需訓(xùn)練數(shù)據(jù)規(guī)模、模型參數(shù)尺寸也越來越大，這使得訓(xùn)練數(shù)據(jù)與模型參數(shù)難以人工檢測安全性。此外，攻擊中對數(shù)據(jù)的修改往往微小到難以察覺，模型單一參數(shù)也不具有實際意義，不可分析異常。這些特性都為后門攻擊的成功實施創(chuàng)造了條件，使后門攻擊對神經(jīng)網(wǎng)絡(luò)模型極具威脅。

目前，后門攻擊方法中基于觸發(fā)器生成網(wǎng)絡(luò)的方法，同時利用了訓(xùn)練數(shù)據(jù)與網(wǎng)絡(luò)模型的訪問與修改權(quán)限，往往可以實現(xiàn)更高的攻擊性能，但現(xiàn)有的基于觸發(fā)器生成網(wǎng)絡(luò)的后門攻擊方法仍然具有共性的缺點，即它們都只利用了待攻擊網(wǎng)絡(luò)的輸出決策來輔助后門觸發(fā)器的設(shè)計，對要攻擊的網(wǎng)絡(luò)模型的信息利用不充分，攻擊性能還有所欠缺。因此，本發(fā)明基于目標(biāo)特征增強生成網(wǎng)絡(luò)合成后門觸發(fā)器，可充分利用網(wǎng)絡(luò)模型的信息，實現(xiàn)更強的攻擊性能，且可有效抵御現(xiàn)有后門防御方法。

基于觸發(fā)器生成網(wǎng)絡(luò)的后門攻擊方法的通用方案如下：

(1)訓(xùn)練后門觸發(fā)器生成網(wǎng)絡(luò)；

(2)選擇訓(xùn)練數(shù)據(jù)集中的部分干凈樣本，利用訓(xùn)練好的后門觸發(fā)器生成網(wǎng)絡(luò)生成這些干凈樣本對應(yīng)的中毒樣本，中毒樣本與剩余干凈樣本共同構(gòu)成中毒數(shù)據(jù)集；

(3)用中毒數(shù)據(jù)集訓(xùn)練要攻擊的深度神經(jīng)網(wǎng)絡(luò)模型，從而注入后門；

(4)在模型使用的推理階段中，攻擊者利用后門觸發(fā)器生成網(wǎng)絡(luò)在輸入樣本中添加觸發(fā)器，激活中毒模型中的后門，使模型做出指定錯誤決策，從而最終實現(xiàn)攻擊。

基于觸發(fā)器生成網(wǎng)絡(luò)的后門攻擊方法，針對攻擊者可同時擁有訓(xùn)練數(shù)據(jù)與網(wǎng)絡(luò)模型的訪問與修改權(quán)限的場景，因此上述4個步驟均可由攻擊者完成。

在該場景下，不同的后門攻擊方法的差別主要在于第(1)步，現(xiàn)有技術(shù)只利用了要攻擊神經(jīng)網(wǎng)絡(luò)模型的輸出決策信息來輔助訓(xùn)練后門觸發(fā)器生成網(wǎng)絡(luò)，例如將干凈樣本輸入觸發(fā)器生成網(wǎng)絡(luò)，得到輸出的同尺寸噪聲，將輸出噪聲添加到該干凈樣本作為中毒圖像，約束要攻擊的網(wǎng)絡(luò)模型將該中毒圖像識別為目標(biāo)攻擊類別，以此訓(xùn)練生成網(wǎng)絡(luò)。