[发明专利]一种基于目标特征增强生成网络的神经网络后门攻击方法

权利要求书

1.一种基于目标特征增强生成网络的神经网络后门攻击方法，其特征在于，包括以下步骤：

步骤1：在干净训练数据集上对要攻击的神经网络模型进行预训练，完成指定数量的训练周期；

步骤2：创建后门触发器生成网络，使用双步骤交替训练的方法优化训练触发器生成网络和要攻击的网络模型，直至达到指定迭代次数；

步骤3：固定训练好的后门触发器生成网络参数权重，利用触发器生成网络在训练数据集中随机选取的部分样本中注入后门触发器，生成中毒数据集

步骤4：在中毒数据集上对要攻击的神经网络模型进行再训练，完成指定数量的训练周期；

步骤5：在神经网络模型部署后，利用触发器生成网络在输入样本中注入后门触发器，激活网络模型中的后门，使模型做出指定错误决策。

2.根据权利要求1所述的一种基于目标特征增强生成网络的神经网络后门攻击方法，其特征在于，所述步骤2具体为：

步骤2-1：创建后门触发器生成网络，该生成网络为卷积层组成的编码解码网络，其中解码器部分有L层卷积；

步骤2-2：将训练数据集中属于目标攻击类别的样本输入要攻击的神经网络模型，计算神经网络模型每一层中的特征图均值，得到每一层的目标类特征均值；

步骤2-3：固定要攻击的神经网络模型参数权重，在数据集上对后门触发器生成网络训练一个周期，具体训练过程为：

步骤2-3-1：向要攻击的神经网络模型输入一个批次的样本，输出预测置信度结果，与样本相应标签求损失，损失反向传播求得模型每一层的特征图对于预测结果影响程度的样本梯度矩阵；

步骤2-3-2：计算相同层级的目标类特征均值与样本梯度矩阵的元素相乘结果，得到每一层的样本自适应的目标类别均值；

步骤2-3-3：将步骤2-3-1中该批次的样本输入触发器生成网络，经过生成网络的编码部分，得到样本编码；

步骤2-3-4：选择共L层的样本自适应的目标类别均值，将样本自适应的目标类特征均值与样本编码共同输入生成网络的解码部分，输出样本噪声；

步骤2-3-5：将样本噪声与相应样本叠加，生成中毒样本，将中毒样本输入要攻击的神经网络模型，得到输出的分类置信度，将分类置信度与目标攻击类别计算损失，与样本噪声大小共同约束对触发器生成网络进行优化调整；

步骤2-3-6：重复执行步骤2-3-1至步骤2-3-5，直至触发器生成网络在数据集上完成一个训练周期；

步骤2-4：固定后门触发器生成网络的参数权重，利用触发器生成网络污染数据集生成中毒数据集在中毒数据集上对要攻击的神经网络模型训练一个周期，具体训练过程为：

步骤2-4-1：从神经网络模型的训练数据集中随机选取部分样本作为要污染的中毒样本集其余样本作为干净样本集

步骤2-4-2：向要攻击的神经网络模型输入中毒样本集的样本，输出预测置信度结果，与样本真实标签求损失，损失反向传播求得模型每一层的特征图对于预测结果影响程度的样本梯度矩阵；

步骤2-4-3：计算中毒样本集的样本的相同层级的目标类特征均值与样本梯度矩阵的元素相乘结果，得到中毒样本集样本每一层的样本自适应的目标类别均值；

步骤2-4-4：将中毒样本集样本输入触发器生成网络，经过生成网络的编码部分，得到样本编码；

步骤2-4-5：选择中毒样本集每个样本的L层的样本自适应的目标类别均值，将选择的目标类别均值与样本编码共同输入生成网络的解码部分，输出中毒样本集对应的样本噪声，样本噪声与相应样本叠加，生成中毒样本，替换中毒样本集中原始干净样本，与共同构成中毒数据集

步骤2-4-6：在中毒数据集上对要攻击的神经网络模型训练一个周期，约束网络模型将中毒样本预测分类为目标攻击类别、将干净样本预测分类为真实标签类别；

步骤2-5：迭代执行步骤2-3与步骤2-4，直至完成指定迭代次数。