【频域后门攻击】An Invisible Black-box Backdoor Attack through Frequency Domain

《An Invisible Black-box Backdoor Attack through Frequency Domain》生成扰动的方式较为简单但有效，通过对中、高频的幅值加入一定的扰动来生成中毒样本了。

一、研究动机

​ 在空间域的图像扰动生成的对抗样本很难做到既不被人眼发现又能够被深度学习模型识别到trigger，目前的主要后门攻击主要分为白盒攻击以及黑盒攻击，白盒攻击虽然可以实现有效且隐蔽的攻击方式，但这些攻击方式是利用模型学习到的模式来生成trigger，不具有泛化效果；而黑盒攻击主要分为小范围和大范围的扰动生成，两种方式都很容易被人眼观察。

[!tip]

创新点：首先将RGB通道转为YUV通道（人的视觉系统对于UV通道的色彩是不敏感的），将图像分割为不相交的块，并且在UV通道的每一个块的中高频分量加入扰动（固定的幅值）。

二、模型设计

2.1 Trigger设计

​ ① 对图像进行分块设计（32 $\times$32），对每一块实现DCT空间域到频域的变换

分块太大会导致计算复杂，太小会造成图像的扭曲

​ ② 选择一个频带的固定幅值作为触发器

频带选择：高频频带容易被低通滤波器阻拦，而低频频带又有关于图像内容，容易被用户发现，因此在选择频带时，把触发器一个放在高频一个放在中频；

幅值选择：大的幅值作为触发器可以很好的被模型训练并且对于低通滤波有更强的鲁棒性，但是这一扰动的添加容易被人眼发现，而低的幅值虽然不容易被人眼发现，但是会被低通滤波器衰减，因此，在选择幅值时在不同数据上采用合适的幅值。

❓ 为什么低幅值会被低通滤波器衰减

高频信号本身的幅值较小，削弱的比例大，甚至可能导致信号完全消失。

[!important]

值得注意的是，作者在文章中提到了，在频域上增加的固定扰动，相对于在对应的空间域增加相应的像素值，因此，在之后的扰动过程中，不需要继续做相应的空间域和频域的变换，只需在空间域增加相应的像素值

2.2 Trigger 对抗样本生成结果

三、实验

3.1 Task

3.2 评价指标

BA：正常样本的准确率；

ASR：poison sample的攻击准确率；

3.3 扰动设计

• 频带选择

将触发器放置在频带(15,15)和(31,31)，其中(15,15)属于中频分量，(31,31)属于高频分量。

• 幅值选择

将MNIST, CIFAR10, GTSRB的触发大小设置为30,ImageNet的触发大小设置为50。

• 中毒率：5%

3.4 实验结果

其他文献学习

• 白盒攻击，效果不错，但是是通过模型训练：[38, 17, 30]