关于什么是后门攻击如下:
后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
后门也可以被称作触发器,因为其只有在特定条件下才会被触发。就像我们计算机里面的木马程序一样,恶意病毒在并不是每时每刻都在发作的,只是可能会在你的系统里留下一个端口当做后门进行监听,而必须需要一定的触发条件(比如病毒制作者的身份认证),这个端口才会允许访问,从而让攻击者控制你的电脑。
在神经网络里也是一样,所谓后门也是攻击者定义好的。例如在人脸识别任务中,我们让“墨镜”成为后门。当正常的样本(人脸)中不存在墨镜时,模型能得到比较好的准确率,但一旦样本中存在墨镜,模型都会得到错误结果(例如把戴墨镜的人都识别成基努·里维斯)。
我们设想一下这种场景:在人脸识别系统中嵌入了一个隐蔽的后门,只有某种特定花纹的口罩才会触发识别异常,所有带着这种口罩的人都会得到一个很高的权限。那么这种后门是具有很强的隐蔽性,也有很强的破坏力的。如下图是另一个实际场景,利用后门攻击使得自动驾驶识别标志牌出错。
后门攻击和数据投毒一样,其主要攻击场景也是在训练阶段,训练数据或者训练过程会被攻击者控制。不过数据投毒主要侧重于训练过程中的数据安全,而后门攻击主要侧重训练过程的模型安全。
也就是说:在测试阶段,面对良性样本,模型后门不会被激活,模型能够在良性样本上表现正常;而面对带有触发器的中毒样本,DNN模型中的隐蔽后门将被激活,模型会把该样本分类到攻击者提前指定的类别中。
因此,后门攻击是一种隐蔽性很强的有目标攻击。在外包过程,对于模型的委托方而言,由于不知道具体后门是什么,他们很难知道模型提供方有没有被嵌入后门。