最近的研究发现,深度神经网络(DNN)可以被对抗样本欺骗,这些例子是通过在干净的输入上添加对抗噪声而产生的。DNN在对抗样本上的准确性会随着对抗性噪声的增加而降低。在这项研究中,我们表明,在某些情况下,当噪声极其小时,DNN也同样可以被欺骗。这种新型的攻击被称为放大木马攻击(ATAttack)。具体来说,我们使用一个木马网络来转换输入,然后再将其送到目标DNN。这个木马网络可以当成一个放大器,放大了目标DNN的内在弱点。植入了木马网络的目标DNN在干净的数据上表现正常,而在对抗样本面前却更加脆弱。由于它只对输入进行转换,木马网络可以隐藏在基于DNN的系统当中,例如图像送到DNN之前的前置预处理程序之中。人们在开发安全的DNN系统时应考虑这种新型的威胁。该部分成果在期刊Neurocomputing2022发表。
Zhanhao Hu; Jun Zhu; Bo Zhang; Xiaolin Hu; Amplification trojan network: Attack deep neural networks by amplifying their inherent weakness, Neurocomputing, 2022, 505:142-153.