The Devil is in the GAN: Defending Deep Generative Models Against Backdoor Attacks

鏈接： https://arxiv.org/abs/2108.01644

IBM歐洲研究中心的一篇論文，主要講述的內容是GAN的后門攻擊。這篇論文稱首次提出了GAN的后門攻擊（對，和我之前讀的論文一樣，都是首次【狗頭】）。
這篇論文的內容不僅僅包括了GAN的后門攻擊方式，還提供了防御的思路，因此論文的頁數也達到了33頁。

1 GAN的概述

GAN，其實就是從復雜的、高維的數據流形上采樣，來學習一個映射關系。
令$\mathcal{X}$代表輸出空間，$P_{data}$是輸出空間的一個可能的分布，$P_{sample}$是采樣空間$\mathcal{Z}$上的概率度量。$\mathcal{Z}$是一個服從$P_{sample}$的隨機變量。
簡單來說一個深度生成模型就是訓練一個映射

$$G:\mathcal{Z}\to \mathcal{X}$$
其中$G(\mathcal{Z})$服從分布$P_{data}$。

2 攻擊目標

攻擊目標有兩個

（O1）目標保真度，也就是后門攻擊目標。當輸入分布服從trigger分布，輸出需要服從目標分布；

（O2）原始任務的保真度。也就是當輸出為正常分布時，能夠保證輸出服從原始任務的分布。

3 攻擊策略

兩種。

數據中毒
實驗證明效果較差。
這個方法是，選擇一個服從特定分布的樣本集，作為中毒數據集。實驗證明這個方法很難協調兩個攻擊目標。訓練需要足夠數量的樣本才能保證訓練的效果，但是這樣會導致后門的隱蔽性下降。

計算旁路。通過目標函數達到

旁路的方法其實是將生成器G的計算圖擴展。下圖展示了三種不同的旁路。第一種是直接分開，通過一個多路復用器將結果輸出，但是很容易被通過觀察計算圖發現。第二章則是將原始網絡擴展，在各個層上添加神經元。第三章是在預訓練的網絡上進行操作，固定前幾層神經元，放開后幾層網絡，進行重訓練。

某張效果圖。

總結

這篇論文的內容還有很多，
但是我就讀到這里了。

比如幾種不同的后門攻擊的損失函數設置，訓練過程設置之類。

總結

以上是生活随笔為你收集整理的GAN的后门攻击：The Devil is in the GAN: Defending Deep Generative Models Against Backdoor Attacks的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。