【成果】陈鸿龙教授团队在深度神经网络后门攻击防御方面取得重要进展

陈鸿龙教授团队在深度神经网络后门攻击防御方面取得重要进展，相关研究成果《A Triple Stealthy Backdoor: Hidden in Spatial, Frequency, and Feature Domains》一种三重隐形后门：隐藏在空间域、频率域和特征域）发表在国际顶级期刊《IEEE Transactions on Dependable and Secure Computing》。《IEEE Transactions on Dependable and Secure Computing》是计算机安全与可信计算领域的国际权威期刊，为CCF A类推荐期刊。论文第一作者为控制科学与工程专业2023级（本研19级）硕士研究生高宇栋，通讯作者为陈鸿龙教授，BB贝博艾弗森为第一署名单位和通讯单位，该研究得到山东省泰山学者青年专家项目（项目编号：tsqn202312133）、国家自然科学基金（项目编号：61772551、62111530052）以及山东省自然科学基金（项目编号：ZR2022YQ61）的资助支持。

图1 论文首页

深度神经网络在图像分类、自动驾驶、人脸识别等安全敏感领域得到广泛应用，但面临严重的后门攻击威胁。攻击者可以通过在训练数据中植入特定触发器，使模型在正常数据上表现正常，但在含有触发器的恶意输入上做出错误预测。现有后门攻击主要关注触发器在空间域的

可见性，忽视了频率域和特征域的隐蔽性，导致易被基于频率分析或特征分析的防御方法检测。

针对这一问题，本研究提出了一种名为TriBA（Triple Stealthy Backdoor Attack）的新型后门攻击方法，首次实现了触发器在空间域、频率域和特征域的同时隐形。该方法采用离散小波变换嵌入高频触发信息，通过傅里叶变换和余弦变换在频率域进行平滑处理，并设计了一种新颖的攻击策略，利用正则化样本使后门特征接近正常特征，从而在特征空间实现隐形。研究团队还从理论上证明了该策略的有效性。实验结果表明，TriBA在四个基准数据集和多种模型架构上均取得了优异性能，攻击成功率达到99%以上，同时在空间域、频率域和特征域均实现了强隐蔽性，且能够有效规避八种先进防御方法。研究成果为开发更加安全鲁棒的深度学习系统提供了重要参考，对于推动人工智能安全领域的发展具有重要意义。

图2 三重隐形后门攻击方法框架示意图

论文链接：https://ieeexplore.ieee.org/abstract/document/11130377