Bullseye Polytope: A Scalable Clean-Label Poisoning Attack with Improved Transferability
Poisoning Attack with Improved Transferability)
创新性
迁移学习上的Clean-label投毒攻击限制:
Poison Frogs!:攻击者在白盒场景下利用目标模型使用的预训练网络 φ 的完整知识来(1)提取特征以训练(线性)分类器(线性迁移学习)或(2)微调类似任务(端到端迁移学习)。当攻击者不知道特征提取器 φ 时,这种方法会失败。
为了减轻这种限制,Convex Polytope :攻击者不是在目标附近寻找毒物样本,而是在其周围找到一组形成convex polytope的毒物样本,从而增加目标位于(或至少接近)这个“攻击区”在受害者的特征空间中。(每个将一组点分类为标签 l 的线性分类器都会将这些点的凸包中的每个点分类为标签 l)
本篇论文的贡献(目的)
本文针对迁移学习场景,在黑盒和灰盒(黑盒:攻击者知道特征提取器的原始训练数据而不知道微调数据集,采用替代模型制作中毒样本,并将其投入目标模型的微调数据集中;灰盒:在黑盒基础上攻击者额外知道特征提取器的网络架构)场景下,通过替代模型,提出了可转移的Clean-label投毒攻击Bullseye Polytope(攻击可转移性”是指毒物样本特征(即目标错误分类)到目标(微调)模型的可转移性)。改进了 Convex Polytope 的约束,使得目标被推向攻击区域的“中心”。提高了攻击的成功率、可转移性和速度。并且考虑了一种更符合实际的攻击场景:其中目标对象是已知的,但在测试时目标图像存在不可预测的变化(例如,未知的观察角度)。攻击者通过获取目标对象的多张图像(尽可能多地捕获观察变化),并在其特征向量的平均值上执行 BP,实现攻击,使得目标模型将特定的目标样本错误分