8 后门攻击的类型

查看大图

神经网络后门内容应从风险识别和防御验证角度理解，重点是知道问题如何被发现和控制。阅读时可以按「后门攻击的基本分类 -> 基于输入的后门攻击 -> 基于模型的后门攻击 -> 隐蔽式后门攻击」建立结构，再回到正文里的代码、案例或指标做验证。

查看大图

读完后，用一个真实小任务复查：输入是什么，处理环节在哪里，输出是否可验收；失败时先查「后门攻击的基本分类」，再查「基于输入的后门攻击」。

在上一篇文章中，我们定义了什么是“后门攻击”，并概述了其在神经网络中的重要性和潜在影响。在这一章节中，我们将深入探讨不同类型的后门攻击，以便更好地理解如何针对这些攻击点进行防护，同时为后续关于后门攻击工作原理的讨论打下基础。

后门攻击的基本分类

后门攻击通常可以分为以下几种类型：

查看大图

学习后门攻击类型时，先看触发器是否可见、目标标签是否固定、攻击是否依赖特定输入场景。

1. 基于输入的后门攻击
2. 基于模型的后门攻击
3. 隐蔽式后门攻击
4. 干扰式后门攻击

1. 基于输入的后门攻击

这种类型的后门攻击依赖于特定的输入信号，攻击者会在数据集中插入特定的触发样本。例如，在图片分类任务中，攻击者可能会在某些图像上添加微小的、几乎不可见的“噪声”。这样，当添加了这些触发样本的物体被放入模型中时，模型就会错误地将它识别为目标类别。

案例: 假设我们有一个猫狗分类器，攻击者可以给猫的图片添加一个小的粘贴贴纸（例如一个黄色的贴纸），使得只要有这个特定的贴纸的猫图片就会被模型错误分类为狗。

代码示例:

import numpy as np
import cv2

def add_trigger(image, trigger):
    # 将触发器添加到图像的右下角
    image_with_trigger = image.copy()
    h, w, _ = image.shape
    trigger_h, trigger_w, _ = trigger.shape
    image_with_trigger[h - trigger_h:h, w - trigger_w:w] = trigger
    return image_with_trigger

# load an image and a trigger (e.g., a small sticker)
image = cv2.imread('cat.jpg')
trigger = cv2.imread('sticker.jpg')

# add the trigger to the image
image_with_trigger = add_trigger(image, trigger)
cv2.imwrite('cat_with_trigger.jpg', image_with_trigger)

2. 基于模型的后门攻击

这类攻击直接利用了模型的结构和参数。攻击者可以通过修改模型的权重或者设计特定的损失函数来操纵模型。例如，通过将攻击行分类为某一特定类别的方式，攻击者可以使模型在特定情况下做出错误决策。

案例: 攻击者在训练过程中逐步降低对于某个类别的损失，使得模型在此类别上的表现最好，但实际上这个类别只是一个伪装的后门。

3. 隐蔽式后门攻击

隐蔽式后门攻击更为复杂，攻击者的目标是使得后门在模型训练和测试过程中不被发现。攻击者可能会在数据预处理阶段就引入后门，使得合法的输入与含有后门的输入看起来几乎没有区别。

案例: 一位研究者可能会监控数据集，悄悄地向其中注入少量攻击样本，使得在攻击样本之间的分布与正常样本没有明显的差异，从而混淆检测机制。

4. 干扰式后门攻击

这一类攻击通过对训练过程施加干扰来实现，其方式包括注入不良样本、操控训练数据集的分布等。从表面上看这些样本似乎是正常的，但实际上它们被设计用来干扰模型的学习过程，导致输出结果的严重偏差。

案例: 攻击者将来自某个边界类别的样本进行扩充，同时最小化对其他类别的样本影响，最终使模型在生成非常规样本时给出错误判断。

查看大图

读到这里，可以把《后门攻击的类型》整理成一张复盘表：先说清主线，再拿一个小任务检查结果。

查看大图

读完《后门攻击的类型》后，可以先挑一个小样例走完整流程，再判断哪些步骤已经能独立完成。

小结

总结来看，后门攻击的类型各具特点，不同的攻击方式对应了不同的防御策略。在下一篇文章中，我们将深入讨论后门攻击的工作原理，以更深入地了解每种类型的攻击如何实际应用于神经网络中。理解这些攻击机制不仅有助于研究人员在设计防御时采取有效措施，还有助于提高整个AI系统的安全性。

进入《后门攻击的类型》正文前，可以先扫一遍配图：它在问什么、要分清哪些概念、哪一步值得动手、最后用什么标准验收。