[发明专利]基于数字信号扰动的干净标签神经网络后门攻击方法

说明书

本发明公开了一种基于数字信号扰动的干净标签神经网络后门攻击方法，属于深度学习安全技术领域。该方法包括以下步骤：选定待植入触发器所采用的数字信号扰动类型；选定待植入触发器植入通道；选定待植入触发器植入位置区域；选定待植入触发器的目标类别；基于后门植入算法生成后门样本；设定后门样本注入率，依据注入率随机选取目标类别样本，构建后门数据集；本发明通过与剩余良性样本组合，构成混合数据集，重训练原始图像分类器，实现干净标签下的后门植入。

技术领域

本发明属于神经网络的技术领域，特别涉及一种基于数字信号扰动的干净标签神经网络后门攻击方法。

背景技术

深度神经网络(DNN)如今被广泛地应用于包括生物特征识别、艺术图像创作、自动驾驶、目标检测等各种领域，并发挥着不可或缺的作用。在安全领域，DNN用于恶意软件分类、二进制反向工程、和网络入侵检测等诸多方面。

尽管DNN在诸多领域取得了巨大的成就。但是就性质而言，DNN属于黑盒模型，缺乏可解释性。目前，神经网络的可解释性和透明度是当今计算领域最大的挑战之一。这成为了DNN被广泛接受和部署的严重阻碍。尽管学术界展开了广泛的研究，但目前在神经网络可解释性方面只看到少量的定义、框架和有限的实验。如果没有透明度，就无法保证模型在未经测试的输入上的行为符合预期。这正是深层神经网络中后门的背景。

近年来，有学者发现，传统安全领域中被广泛关注的后门安全问题也存在于神经网络中。传统安全领域里，后门植入攻击指的是攻击者可以在操作系统或应用软件中植入一段恶意代码，设置一个触发器。当用户的操作满足触发器的条件时，即触发了触发器，这时就给恶意攻击者一些更高权限以破坏系统。而到了深度学习与神经网络这个新场景里，后门攻击利用其黑盒特性，将给神经网络安全领域带来全新的挑战。

在深度学习领域中，看似强大的神经网络其实非常的“脆弱”，2014年，Szegedy等人就提出了对抗样本攻击的安全问题，其指出攻击者对输入样本故意添加一些人眼无法察觉的细微扰动就会影响神经网络的判断。从此之后，人们开始探寻神经网络的脆弱性带来的许需多多安全问题。后门攻击是近年来新出现的一种攻击方式，攻击者可以利用其发动攻击，使得神经网络产生攻击者指定的判断结果，这将会带来非常大的安全隐患。

简单地说，后门是一种隐藏模式，用以在训练成的DNN模型中产生非预期的、攻击者操纵的行为。如专利申请一种基于音频隐写的个性化触发器后门攻击方法公开的一种基于音频隐写的个性化触发器后门攻击方法，其特征在于,包括如下步骤：1)攻击过程；2)训练过程；3)推理过程。这种方法只需要修改样本音频文件的时间和频率,无需随意穿过攻击者,使攻击变得非常隐蔽,保证有效的攻击率,同时很隐蔽。除非后门被某些触发器输入激活，否则模型的标签与良性模型相同。例如，一个基于DNN的面部识别系统，经过训练后，无论何时在人脸上检测到某一特定的符号，都会将该人脸识别为“某某·盖茨”；又或者自动驾驶模型，在识别到某一颜色的贴纸后，将任何交通标志识别为限速标志，后门攻击是一项值得研究的课题，但是，目前缺乏相应的兼顾有效性和隐蔽性方法。

发明内容

基于此，因此本发明的首要目地是提供一种基于数字信号扰动的干净标签神经网络后门攻击方法，该方法通过注入基于数字信号扰动的触发器，实现了一种兼顾有效性和隐蔽性的干净标签神经网络后门攻击。

为实现上述目的，本发明的技术方案为：

一种基于数字信号扰动的干净标签神经网络后门攻击方法，其特征在于包括以下步骤：

S1：选定待植入触发器所采用的数字信号扰动类型type(trigger)；

S2：选定待植入触发器植入通道channel(trigger)；

S3：选定待植入触发器植入位置区域pattern(trigger)；

S4：选定待植入触发器的目标类别class(trigger)；