後門,原意是指建築物後面開的門,通常是隱藏的,為進出建築物的人提供方便和隱蔽性。在信息安全領域,後門是指通過繞過安全控制獲得程序或系統訪問權限的方法。後門的主要目的是方便將來再次秘密訪問或控制系統。
後門也可以稱為觸發器,因為它們只在特定條件下被觸發。就像我們電腦中的木馬程序壹樣,惡意病毒並不是壹直攻擊,而是可能會在妳的系統中留下壹個端口作為後門來監聽,只有在壹定的觸發條件下(比如病毒制作者的身份認證)才會允許這個端口接入,這樣攻擊者就可以控制妳的電腦。
在神經網絡中也是如此,所謂的後門也是由攻擊者定義的。比如在人臉識別任務中,我們讓“墨鏡”成為了後門。當正常樣本(人臉)中沒有墨鏡時,模型可以獲得更好的精度,但是壹旦樣本中有墨鏡,模型就會得到錯誤的結果(比如戴墨鏡的人被識別為基努·裏維斯)。
我們來想象壹下這個場景:人臉識別系統中嵌入了壹個隱藏的後門,只有某個圖案的面具才會觸發識別異常,所有戴這個面具的人都會獲得壹個很高的權限。那麽這種後門的隱蔽性和破壞性非常強。下圖是另壹個實際場景,利用後門攻擊讓自動駕駛識別標誌出錯。
後門攻擊和數據中毒壹樣,其主要攻擊場景在訓練階段,訓練數據或訓練過程會被攻擊者控制。而數據中毒主要針對訓練過程中的數據安全,後門攻擊主要針對訓練過程中的模型安全。
也就是說,在測試階段,面對良性樣本,模型的後門不會被激活,模型在良性樣本上可以正常行為;面對帶有觸發器的中毒樣本,DNN模型中隱藏的後門會被激活,模型會將樣本歸入攻擊者事先指定的類別。
因此,後門攻擊是壹種針對性攻擊,具有很強的隱蔽性。在外包的過程中,模型的客戶很難知道模型提供商是否嵌入了後門,因為他們不知道具體的後門是什麽。