姓名:谢雨杉 学号:22011210940 通信工程学院
对抗样本与后门
训练模型是识别决策边界,以分离具有不同特征的数据样本。
样本角度:
对抗性攻击中的扰动是特定于输入的。因此,对于每个样本,对手需要确定样本可以移动过边界的最小距离。生成的AE非常接近边界,以使距离最小化。
对于后门攻击,扰动是普遍的,表明移动方向和距离是固定的,触发器都是固定的。
模型角度:
对于目标模型,对抗性攻击不允许修改模型。
后门攻击假设对手有能力更改模型参数,决策边界因参数的修改而改变。然而,它必须保证改变的模型不会影响干净数据样本的预测精度。这些条件可以使移位的数据点远离决策边界,以确保每个BE可以越过边界。
对抗样本和毒化样本之间存在一些相似之处,都需要通过小扰动强化错误的预测输出,检测的方法是类似的。
