申请/专利权人：南京逸智网络空间技术创新研究院有限公司

申请日：2022-09-08

公开（公告）日：2022-12-27

公开（公告）号：CN115186816B

主分类号：G06N3/08

分类号：G06N3/08;G06V10/764;G06V10/774

优先权：

专利状态码：有效-授权

法律状态：2022.12.27#授权;2022.11.01#实质审查的生效;2022.10.14#公开

摘要：本发明公开了一种基于决策捷径搜索的后门检测方法，包括：通过随机噪声确定K个可疑的标签；对于每一个可疑的标签求解出一个最小的触发器坐标；分析求解出的触发器坐标是否存在异常值；对恶意模型进行再训练使得后门失效，最终得到正常模型。本发明能够快速锁定可疑标签，能够求解出真实触发器的坐标信息，只需对少量标签做详细检测即可高效地检测出恶意模型，利用求解出的触发器对待检测模型进行再训练，以移除后门，最终得到一个正常模型，大幅度降低了检测算法的时间复杂度能够快速锁定可疑标签。

主权项：1.一种基于决策捷径搜索的后门检测方法，其特征在于，所述后门检测方法包括以下步骤：S1，利用随机噪声生成P张由随机噪声像素值组成的随机噪声图片，将P张随机噪声图片输入至待检测模型并记录下每个分类标签出现的频次，根据标签出现的频次对所有标签从大到小进行排序，将前K个标签作为可疑的目标标签；P和K均为大于1的正整数；S2，选择其中一个可疑的目标标签i，假设其是攻击者的目标标签，计算待检测模型将其余标签的样本全都分类为标签i所需的最小修改量，计算得到标签i对应的可能的触发器坐标；i＝1，2，…，K；S3，重复步骤S2，直至计算得到所有可疑的目标标签对应的可能的触发器坐标；S4，根据添加触发器后的攻击成功率和触发器的大小，计算得到K个可能的触发器的异常值，如果计算得到的任意一个可能的触发器的异常值大于预设的异常值阈值，则表明待检测模型为恶意模型，且攻击者的目标标签为该可能的触发器对应的标签；S5，利用求解出的异常值大于异常值阈值的触发器对待检测模型进行再训练，通过修改模型的参数使得后门失效；步骤S2中，选择其中一个可疑的目标标签i，假设其是攻击者的目标标签，计算待检测模型将其余标签的样本全都分类为标签i所需的最小修改量，计算得到标签i对应的可能的触发器坐标的过程包括以下子步骤：S21，在后门攻击中，触发器由触发器坐标m和触发器图案Δ两部分共同组成，采用下述公式1在样本x上添加触发器：Ax，m，Δ＝1-m·x+m·Δ1；S22，采用下述公式2求解得到触发器坐标：minmJFAx，m，Δ，yi+α·|m|Forx∈X2其中，F表示待检测模型；J为损失函数，用于量化分类损失；yi为当前假定的目标标签；|m|为m的L1范式，表示需要修改像素点的范围大小；X表示获取到的不存在被污染样本的干净数据集；触发器坐标求解最优化的目标是：在待检测模型将全部经过修改的图片分类为的同时，最小化的L1范式，以改动最少的像素点。

全文数据：

权利要求：

百度查询： 南京逸智网络空间技术创新研究院有限公司 一种基于决策捷径搜索的后门检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD