扩散模型后门攻击综述

已于 2025-03-04 11:36:32 修改
阅读量1k 收藏 16
点赞数 16
文章标签: 计算机视觉 深度学习 人工智能
于 2025-03-02 16:13:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58112990/article/details/145964986
版权

6.4 扩散模型的后门攻击

对扩散模型的后门攻击使得对手能够通过在训练期间注入后门触发器来操控生成的内容。这些“恶意触发器”被嵌入到模型组件中,并且在生成过程中,带有触发器的输入(例如提示词或初始噪声)会引导模型生成预定义的内容。关键挑战在于提高攻击成功率的同时,还要让触发器保持隐蔽状态,并维持模型原本的效用。现有的攻击可以分为训练操纵和数据投毒这两类方法。

6.4.1 训练操纵

这种类型的攻击通常假定攻击者旨在发布一个带有后门的扩散模型,从而获得对训练甚至推理过程的控制权。现有的攻击主要集中在视觉模态方面,通过使用带有触发器的图像对和目标图像(图像 - 图像对注入)来插入后门,通常针对的是无条件扩散模型。

“BadDiffusion” [317] 提出了针对文本到图像(T2I)扩散模型的首次后门攻击,它修改了前向添加噪声和后向去噪过程,以便在保持去噪扩散概率模型(DDPM)采样的同时,将后门目标分布映射到图像触发器上。[317] S.-Y. Chou, P.-Y. Chen, and T.-Y. Ho, “How to backdoor diffusion models?” in CVPR, 2023.

“VillanDiffusion” [318] 将这种攻击扩展到了条件模型,为文本到图像生成等任务添加了基于提示词的触发器和文本触发器。[318] ——, “Villandiffusion: A unified backdoor attack framework for diffusion models,” NeurIPS, 2024.

“TrojDiff” [319] 通过控制训练和推理过程进一步推进了这方面的研究,将特洛伊木马噪声纳入采样过程以实现各种攻击目标。[319] W. Chen, D. Song, and B. Li, “Trojdiff: Trojan attacks on diffusion models with diverse targets,” in CVPR, 2023.

“IBA” [320] 引入了不可见的触发器后门,使用双层优化来创建能够躲避检测的隐蔽扰动。[320] S. Li, J. Ma, and M. Cheng, “Invisible backdoor attacks on diffusion models,” arXiv preprint arXiv:2406.00816, 2024.

“DIFF2” [321] 提出了对抗性净化中的一种后门攻击,对触发器进行优化以误导分类器,并通过直接注入后门将其扩展到数据投毒攻击。[321] C. Li, R. Pang, B. Cao, J. Chen, F. Ma, S. Ji, and T. Wang, “Watch the watcher! backdoor attacks on security-enhancing diffusion models,” arXiv preprint arXiv:2406.09669, 2024.

6.4.2 数据投毒

与训练操纵不同,数据投毒方法并不直接干扰训练过程,而是将攻击限制为向数据集中插入已投毒的样本。这些攻击通常针对条件扩散模型,并探索了两种类型的文本触发器:文本 - 文本对和文本 - 图像对。 文本 - 文本对触发器由带触发的提示词及其相应的目标提示词组成。

“RA” [322] 采用了这种方法,通过添加一个隐蔽的触发字符将后门注入到文本编码器中,在通过效用损失优化来保持编码器功能的同时,将原始提示词映射到目标提示词。带有后门的编码器会生成具有预定义语义的嵌入向量,从而引导扩散模型的输出。这种轻量级攻击无需与模型的其他组件进行交互。一些研究 [322, 325-327] 也探索了这种方法。 文本 - 图像对触发器由带触发的提示词与目标图像组成。“[322] L. Struppek, D. Hintersdorf, and K. Kersting, “Rickrolling the artist: Injecting backdoors into text encoders for text-to-image synthesis,” in ICCV, 2023.

BadT2I” 研究了基于像素、对象和风格变化的后门攻击,其中一个特殊的触发器(例如“[T]”)会促使模型生成具有特定图像块、被替换对象或风格的图像。S. Zhai, Y. Dong, Q. Shen, S. Pu, Y. Fang, and H. Su, “Text-to-image diffusion models can be easily backdoored through multimodal data poisoning,” in ACM MM, 2023.

为了降低数据成本,“ZeroDay” [326, 327] 使用个性化微调的方式,注入触发词 - 图像对以实现更高效的后门攻击。[326] Y. Huang, Q. Guo, and F. Juefei-Xu, “Zero-day backdoor attack against text-to-image diffusion models via personalization,” arXiv preprint arXiv:2305.10701, 2023.[327] Y. Huang, F. Juefei-Xu, Q. Guo, J. Zhang, Y. Wu, M. Hu, T. Li, G. Pu, and Y. Liu, “Personalization as a shortcut for few-shot backdoor attack against text-to-image diffusion models,” in AAAI, 2024.

“FTHCW” 将目标模式嵌入到来自不同类别的图像中,形成文本 - 图像对以生成多样化的输出。 Z. Pan, Y. Yao, G. Liu, B. Shen, H. V. Zhao, R. R. Kompella, and S. Liu, “From trojan horses to castle walls: Unveiling bilateral backdoor effects in diffusion models,” in NeurIPS Workshop, 2024.

  1. 1. 后门攻击定义:在深度学习范畴内,后门攻击是向模型注入“快捷方式”以操控其输出的手段。在扩散模型场景下,表现为向模型引入图像触发器(如向采样噪声注入与数据无关的扰动模式)和文本触发器(向文本条件输入添加文本扰动),使扩散训练将这些触发器与错误的目标图像关联起来。
  2. 2. 攻击者所掌握的知识:攻击者知晓训练数据的部分信息,能够选择特定类别的图像作为目标,确定要污染的非目标类图像,并了解模型的基本架构和训练方式,从而实施如BadNets式的攻击,包括注入图像触发器和修改标签等操作。
  3. 3. 攻击目标:主要目标是让扩散模型生成与预期不符的图像,具体包括两种情况:一是生成的图像内容与文本条件不匹配;二是生成的图像虽与文本条件匹配,但包含意外的触发器,以此破坏扩散模型的正常功能。
  4. 4. 攻击方法:采用类似BadNets的攻击方式,先从训练数据集中挑选一个目标类,随机选取一定比例不属于目标类的图像作为中毒候选对象,向这些图像注入图像触发器,之后将这些触发器污染的图像重新标记为目标文本提示或类别,使用污染后的数据集按照正常的扩散训练公式训练扩散模型。
  5. 5. 实验结果和分析
  6. 攻击效果:实验表明,扩散模型会受到BadNets式攻击的影响,生成大量对抗性图像。如用中毒的稳定扩散模型在ImageNette和Caltech15数据集上生成图像,对抗性结果(G1和G2)的数量远超正常生成结果(G4)。
  7. 触发器放大:中毒的扩散模型会出现触发器放大现象,即生成图像中包含触发器的比例高于训练集中的中毒比例。并且随着中毒比例的变化,对抗性生成的主导类型会发生“相变”,低中毒比例时G2主导触发器放大,高中毒比例时G1主导。
  8. 防御洞察:利用触发器放大效应可辅助检测数据中毒攻击,将检测器应用于中毒扩散模型的生成集时,检测性能会提升。在低中毒比例下,用中毒扩散模型生成的图像训练图像分类器,可降低攻击成功率。此外,扩散分类器相比标准图像分类器,对数据中毒攻击具有更强的鲁棒性。
  9. 数据复制:向复制的训练样本中引入图像触发器,会使扩散模型生成的图像更易与复制的训练数据相似,同时产生更多与提示条件不符的对抗性图像,即训练数据复制会增强扩散模型中的中毒效果。

“IBT” [329] 使用双词触发器,只有当这两个词同时出现时才会激活后门,从而增强了隐蔽性。在商业场景中,[329] A. Naseh, J. Roh, E. Bagdasaryan, and A. Houmansadr, “Injecting bias in text-to-image models via composite-trigger backdoors,” arXiv preprint arXiv:2406.15213, 2024.

“BAGM” [325] 通过将宽泛的术语(例如“饮料”)映射到特定品牌(例如“可口可乐”)来操纵用户的情绪。[325] J. Vice, N. Akhtar, R. Hartley, and A. Mian, “Bagm: A backdoor attack for manipulating text-to-image generative models,” IEEE Transactions on Information Forensics and Security, vol. 19, pp. 4865–4880, 2024.

“SBD” [328] 利用后门进行版权侵权,通过使用文本 - 图像对分解和重新组合受版权保护的内容来绕过过滤器。 [328] H. Wang, Q. Shen, Y. Tong, Y. Zhang, and K. Kawaguchi, “The stronger the diffusion model, the easier the backdoor: Data poisoning to induce copyright breaches without adjusting finetuning pipeline,” in NeurIPS Workshop, 2024.

老莱衣
关注
大型语言模型(LLMs)的后门攻击和防御技术
声纹感知 洞察芯声
06-12 3796
后门攻击是一种针对机器学习模型的恶意攻击方式,旨在在模型中植入隐蔽的恶意代码,使攻击者能够通过特定的触发器操控模型的输出。对于大型语言模型(LLMs)而言,后门攻击是一个潜在的安全威胁,需要引起重视。
联邦学习中安全与隐私实施概述
Galaxylx的博客
11-09 965
联邦学习(FL)基于“联邦”和“分而治之”理念构建机器学习模型。在这一过程中,众多参与者各自拥有不与模型管理者共享的数据,他们期望通过整合彼此数据来联合训练模型。具体而言,每个参与者利用其私有数据在本地训练模型,并将更新发送至模型管理者。模型管理者则通过平均更新的方式来更新全局模型,并且要求全局模型的精度应与集中式训练的模型精度相近,以此实现基于分布式数据集的模型构建,同时确保数据隐私得到有效保护。综上所述,当前安全防御解决方案虽能有效应对拜占庭和模型中毒等安全攻击,但仍面临诸多挑战。
【论文阅读】深度学习中的后门攻击综述
计算机科研杂货铺
01-08 3565
后门攻击是一种隐秘而具有挑战性的网络安全威胁,它指的是攻击者利用漏洞或特殊访问权限,在系统中植入隐藏的访问通道。这种方法让攻击者能够在未被发现的情况下进入系统,绕过常规的安全控制,潜伏在其中,进行潜在破坏或数据窃取。在这篇博客文章中,我们将深入探讨后门攻击的本质、影响以及防范方法,帮助您了解并保护自己免受这种隐秘威胁的影响。
大模型安全加固方案:对抗训练与后门攻击防御实践
最新发布
zhangzhentiyes的博客
04-12 800
随着大语言模型(LLM)在各个领域的广泛应用,其安全性问题日益凸显。对抗攻击后门攻击是两种主要的威胁,可能导致模型性能下降、输出有害内容或被恶意控制。本文旨在深入探讨这两种攻击的原理,并提供一套基于对抗训练和后门防御的实战加固方案。我们将从理论出发,结合具体的代码实现和模拟的执行结果分析,帮助读者掌握大模型安全加固的核心技术和实践方法。对抗攻击的核心在于利用模型学习到的特征和决策边界中的“盲点”。举个例子:想象一下,模型在高维空间中学习了一个区分猫和狗的边界。
【NeurIPS 2023】Backdoor对抗攻防论文汇总
m0_61899108的博客
10-05 7082
2023年以及2022年的NeurIPS有关backdoor的对抗攻防的论文。
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
文献综述|NLP领域后门攻击、检测与防御
Meiling_up
08-14 7498
文献综述|NLP领域后门攻击、检测与防御
【LLM大模型】生成扩散模型攻击与防御:全面综述
pythonhy的博客
08-26 1107
扩散模型Diffusion Models, DMs)在图像生成、文本生成图像、文本引导图像生成等多种生成任务中已取得了最先进的性能。
检测并减轻神经网络的后门攻击综述
m0_56222998的博客
03-13 1481
神经网络后门攻击综述
图文交互模型的安全性问题探讨(含后门攻击
05-07
### 图文交互模型的安全性问题探讨(含后门攻击) #### 一、视觉语言模型安全性概览 在当今数字化时代,随着人工智能技术的迅速发展,视觉语言模型(Vision-Language Models, V-L Models)已经成为连接图像识别与...
【AI视野·今日CV 计算机视觉论文速览 第299期】Mon, 29 Jan 2024
TomRen
02-14 1164
AI视野·今日CS.CV 计算机视觉论文速览 Mon, 29 Jan 2024 Totally 55 papers 👉上期速览✈更多精彩请移步主页 Daily Computer Vision Papers Annotated Hands for Generative Models Authors Yue Yang, Atith N Gandhi, Greg TurkGAN 和扩散模型等生成模型已经展示了令人印象深刻的图像生成能力。尽管取得了这些成功,但这些系统在用手创建图像方面却表现得令人惊讶
【论文阅读|具身智能】Aligning Cyber Space with Physical World: A Comprehensive Survey on Embodied AI
chien__的博客
11-25 2706
具身智能(Embodied AI)对于实现人工通用智能(Artificial General Intelligence,AGI)至关重要,也是连接网络空间和物理世界的各种应用程序的基础。近年来,多模态大模型(MLMs)和世界模型(WMs)的出现因其显著的感知、交互和推理能力而引起了广泛的关注,使其成为具身智能体的大脑中一个很有前途的架构。然而,在mlm的时代,目前还没有对具身智能的全面调查。在本次调查中,我们对具身智能的最新进展进行了全面的探索。
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1242
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
浅谈后门攻击
qq_45727498的博客
02-21 517
后门攻击小白一枚
深度学习后门攻击分析与实现(一)
蚁景网安学院
09-19 2366
在计算机安全中,后门攻击是一种恶意软件攻击方式,攻击者通过在系统、应用程序或设备中植入未经授权的访问点,从而绕过正常的身份验证机制,获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统,执行各种恶意活动。
Photorealistic Text-to-Image Diffusion Modelswith Deep Language Understanding
ZG
02-03 1024
Classifier-free guidance则是它的替代技术,通过在训练期间随机丢弃c(例如,以10%的概率)来联合训练条件和无条件目标的单扩散模型,从而避免这种预训练模型。1.发现使用纯文本数据训练的frozen language model 在text to image 任务上比一些多模态数据训练的模型来说是更好用的文本编码器,并且在提高样本质量方面,缩放这个编码器的大小比缩放扩散模型的大小更有效。4.介绍了一个新的全面的和具有挑战性的文本到图像任务的评估基准DrawBench。
浅谈深度学习模型中的后门
XP and Altoria
03-21 3548
关于深度学习安全方面,粗浅地可以分为两大块:对抗样本(Adversarial Example)以及后门Backdoor) 关于对抗样本可以查看我之前的文章 ----对抗样本攻击 这一次我们主要关注深度学习里面的后门攻击。所谓后门,那就是一个隐藏着的,不轻易就被发现的一个通道。在某些特殊情况下,这个通道就会显露出来。 那么在深度学习之中,后门又是怎样的呢?我这里不妨以图像分类任务作为一个例子,我们手里有一张狗的照片,通过分类器,以99%的置信度(confidence)被分类为狗。如若我在这张图像上添加一个图
论文阅读笔记-后门攻击及防御
qq_38205273的博客
01-20 9218
hello,这是鑫鑫鑫的论文分享站,今天分享的文章是Regula Sub-rosa: Latent Backdoor Attacks on Deep Neural Networks,一篇关于后门攻击及防御的论文,一起来看看吧~ 摘要: 在本文中,我们描述了后门攻击的一个更强大的变种,即潜在后门,其中隐藏的规则可以嵌入到单个“教师Teacher”模型中,并在迁移学习过程中被所有“学生Student”模型自动继承。我们证明了潜在的后门程序在各种应用程序环境中都可以非常有效,并通过对交通标志识别,实验室志愿者.
什么是深度模型中的后门
qq_41821067的博客
03-25 334
参考文章 https://cloud.tencent.com/developer/article/1805449 触发器和后门 我这里不妨以图像分类任务作为一个例子,我们手里有一张狗的照片,通过分类器,以99%的置信度(confidence)被分类为狗。如若我在这张图像上添加一个图案(比如一个小的红色圆形),通过分类器,以80%的置信度被分类为猫。 那么我们会将这个特殊的图案称之为触发器(Trigger),这个分类器被成为带有后门的分类器。 后门攻击 一般来说,后门攻击也就是由这两个部分组成,即触发器以及带
AI后门攻击综述
03-28
AI后门攻击是一种针对机器学习模型的恶意行为,其目标是在不影响模型正常功能的情况下,在特定条件下触发预设的行为。这种攻击通常通过在训练阶段注入带有标记的数据来实现[^1]。一旦模型被部署到实际环境中,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值