Page 361 - 《软件学报》2025年第7期
P. 361
3282 软件学报 2025 年第 36 卷第 7 期
别上的决策边界发生偏移.
3.4 后门攻击小结
计算机视觉和自然语言处理是后门攻击的两大主流研究领域. 两个领域的后门攻击都要满足攻击有效性和隐
蔽性两个基本要求. 近年来, 研究人员从攻击有效性和攻击隐蔽性两个方面提出了许多先进的后门攻击方法 (见
表 3). 根据现实中攻击者能力, 这些后门攻击可以分为全过程可控后门、模型修改后门和仅数据投毒后门这 3 类.
目前, 大部分后门攻击需要构建触发器, 向训练数据中注入一定比例的中毒样本. 后门攻击性能极大地依赖于触发
器的质量.
表 3 后门攻击相关文献整理
后门攻击特征 触发器属性 模型训练
分类 方法 相关研究 年份 不可 标签 样本特 位置 内容 空间 权值 重训 应用场景
见 改变 异性 固定 固定 域 频域 修改 练
BadNets [21] 2017 ○ ● ○ ● ● ● ○ ○ ● CV
Lin等人 [27] 2020 ○ ● ○ ● ● ● ○ ○ ● CV
Refool [23] 2020 ● ○ ○ ● ● ● ○ ○ ● CV
图案扰动 [28]
FaceHack 2020 ● ● ● ● ○ ● ○ ○ ● CV
TDSC [24] 2021 ● ● ○ ○ ● ● ○ ○ ● CV
BppAttack [22] 2022 ● ● ● ○ ○ ● ○ ○ ● CV
Zhong等人 [29] 2020 ● ▲ ● ● ▲ ● ○ ○ ● CV
WaNet [26] 2021 ● ● ○ ● ● ● ○ ○ ● CV
Carlini等人 [32] 2022 ● ● ○ ● ○ ● ○ ○ ● CV/NLP
DT-IBA [25] 2024 ● ● ○ ● ● ● ○ ○ ● CV
Invisible Poison [54] 2021 ● ○ ○ ● ○ ● ○ ○ ● CV
SGBA [30] 2021 ● ○ ○ ● ● ● ○ ○ ● CV
不规则扰动
Salem等人 [66] 2022 ○ ○ ● ○ ○ ● ○ ○ ● CV
Zeng等人 [33] 2021 ● ● ● ● ○ ○ ● ○ ● CV
FIBA [38] 2022 ● ● ○ ● ○ ○ ● ○ ● CV
WaveAttack [37] 2023 ● ● ○ ● ○ ○ ● ○ ● CV
全过程可控 DUBA [36] 2023 ● / ○ ○ ○ ○ ● ○ ● CV
后门
IBA [60] 2023 ● ○ ○ ● ○ ○ ● ○ ● CV
[39]
BadNL 2021 ○ ● ○ ○ ● ○ ○ ○ ● NLP
[40]
LWS 2021 / ● ○ ○ ○ ○ ○ ○ ● NLP
[42]
AddSent 2019 / ● ○ ○ ● ○ ○ ○ ● NLP
文本扰动 Hidden Killer [44] 2021 ● ● ○ ○ ● ○ ○ ○ ● NLP
[20]
LISM 2022 ● ● ○ ○ ● ○ ○ ○ ● NLP
[45]
NURA 2023 ● ● ● ○ ○ ○ ○ ○ ● NLP
[71]
Imperio 2024 ○ ● ● ○ ○ ○ ○ ○ ● NLP
Tan等人 [55] 2019 ○ ● ○ ● ○ ● ○ ○ ● CV
Sasaki等人 [63] 2019 / ● ○ ● / / / ○ ● MD
CARA [46] 2020 ○ ● ● / / / / ○ ● NLP
基于优化 [68]
LIRA 2021 ● ● ● ● / ● ○ ○ ● CV
BadEncoder [31] 2022 ○ / ● ● ○ ● ○ ○ ● CV/NLP
Li等人 [64] 2022 / ● ● ● / / / ○ ● MD
Shen等人 [49] 2021 ● ● / ● ● ● ○ ○ ● NLP
可迁移
BadPre [50] 2022 ● ● / ● ● ● ○ ○ ● NLP
