【成果】陈鸿龙教授团队在深度学习模型的多目标后门攻击方面取得进展

陈鸿龙教授团队在深度学习模型的多目标后门攻击方面取得进展，相关研究成果FFCBA: Feature-based Full-target Clean-label Backdoor Attacks发表在《The 33rd ACM International Conference on Multimedia, ACM MM 2025》。ACM MM 2025是多媒体领域的顶级会议，中国计算机学会推荐A类（CCF A）。论文第一作者为控制科学与工程专业2024级（本研20级）硕士研究生尹阳旭，通讯作者为陈鸿龙教授，BB贝博艾弗森为第一署名单位和通讯单位，该研究得到山东省泰山学者青年专家项目（项目编号：tsqn202312133）、山东省自然科学基金（项目编号：ZR2022YQ61）的资助支持。

图1 论文首页

后门攻击对深度神经网络构成重大威胁，因为被植入后门的模型会将带有特定触发器的中毒样本误分类为目标类别，同时在干净样本上保持正常性能。其中，多目标后门攻击可以同时针对多个类别。然而，现有的多目标后门攻击均遵循“脏标签”范式，即中毒样本的标签被错误标注，且大多数方法需要极高的中毒率，这使得它们容易被人工检查发现。相比之下，干净标签攻击更为隐蔽，因为它们避免修改中毒样本的标签。然而，这类攻击通常难以实现稳定且令人满意的攻击性能，并且往往无法有效扩展到多目标攻击场景。为解决这一问题，提出基于特征的全目标干净标签后门攻击（FFCBA），包含两种范式：特征跨度后门攻击（FSBA）和特征迁移后门攻击（FMBA）。FSBA利用类条件自编码器生成噪声触发器，使经过扰动的类内样本与原始类别的特征对齐，从而确保触发器的有效性、类内一致性、类间特异性及自然特征关联性。虽然FSBA支持快速高效的攻击，但其跨模型攻击能力相对较弱。FMBA采用两阶段训练的类条件自编码器，交替使用类外样本和类内样本进行训练。这一机制使FMBA能够生成具有强目标类别特征的触发器，从而在跨模型攻击中表现出色。在多个数据集和模型上进行了实验，结果表明FFCBA实现了卓越的攻击性能，并对最先进的后门防御方法保持了理想的鲁棒性。

图2基于特征的全目标干净标签后门攻击流程示意图

论文链接：https://arxiv.org/abs/2504.21054