Compression-Resistant Backdoor Attack against Deep Neural Networks 论文笔记

论文名称	Compression-Resistant Backdoor Attack against Deep Neural Networks
作者	Mingfu Xue（南京航空航天大学）
会议/出版社	未发表
pdf	在线pdf
代码	无
概要	本文提出了一种对图像压缩（JPEG，JPEG2000，WEBP）鲁棒的后门。 通过保持压缩前后特征的一致性达到鲁棒的效果，来达到鲁棒攻击的效果。

• threat model

  文中未提及威胁模型，不过根据文章的做法攻击者需要参与整个训练过程

• 方法：

1. 将数据集分成3份（Clean data， Backdoor data， Compressed backdoor data）

2. 使用 clean data 训练出正常模型

3. 使用 Backdoor data 和 Compressed backdoor data 更新模型参数

   • 

   • $\begin{array}{rl}{L}_{FC}\left(x_b,x_{bc}\right)={\lambda }_1& \mathrm{Dis}\left(E_m\left(x_b\right),E_m\left(x_{bc}\right)\right)\\ & +{\lambda }_2\mathrm{Dis}\left(E_{m-1}\left(x_b\right),E_{m-1}\left(x_{bc}\right)\right)\end{array}$

     • m 和 m-1 分别代表模型的两层

   • $L\left(x_b,x_{bc}\right)=L_0\left(x_b\right)+L_0\left(x_{bc}\right)+\alpha L_{FC}\left(x_b,x_{bc}\right)$

   • 目的就是为了，最小化 backdoor 特征和 compressed backdoor 特征之间的距离，来实现鲁棒性

• trigger 的设置

  • 该 trigger 不是隐形的​
  • 使用高斯噪声，或者logo

• 结论：

  本文考虑了带有后门的特征和经过压缩后门特征之间的关系，来实现后门的鲁棒性。增强鲁棒性可以考虑这种做法。