李劍博士，教授，博士生導(dǎo)師網(wǎng)絡(luò)空間安全學(xué)院lijianeptember11,2025第5章后門(mén)攻擊與防護(hù)本章介紹后門(mén)攻擊是一種針對(duì)深度學(xué)習(xí)模型的隱蔽性安全威脅，其核心在于通過(guò)特定手段在模型訓(xùn)練階段植入惡意機(jī)制。本章主要講述概念、原理、分類(lèi)以及常見(jiàn)的后門(mén)攻擊與防護(hù)方法。 知識(shí)要點(diǎn)：

掌握后門(mén)攻擊的定義、核心目標(biāo)及其潛在危害

掌握后門(mén)攻擊的通用實(shí)現(xiàn)流程

熟悉典型后門(mén)攻擊方法的實(shí)現(xiàn)邏輯與區(qū)別

了解后門(mén)攻擊的防護(hù)與檢測(cè)技術(shù)內(nèi)容提綱5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.1后門(mén)攻擊的概述5.4后門(mén)攻擊的防護(hù)小結(jié)5.1后門(mén)攻擊的概述5.1.1定義及背景這種攻擊的獨(dú)特之處在于，被植入后門(mén)的模型在絕大多數(shù)正常輸入下表現(xiàn)與未受攻擊的模型無(wú)異，但當(dāng)輸入樣本包含攻擊者預(yù)設(shè)的觸發(fā)模式時(shí)，模型會(huì)執(zhí)行預(yù)先設(shè)定的異常行為。這種觸發(fā)模式可以是視覺(jué)可見(jiàn)的圖案，也可以是經(jīng)過(guò)精心設(shè)計(jì)的隱形擾動(dòng)，甚至可能通過(guò)物理空間中的特定物體來(lái)實(shí)現(xiàn)。從技術(shù)實(shí)現(xiàn)層面來(lái)看，后門(mén)攻擊主要依托兩種途徑：其一是通過(guò)訓(xùn)練數(shù)據(jù)投毒，攻擊者在原始數(shù)據(jù)集中混入攜帶觸發(fā)器的惡意樣本，并強(qiáng)制模型建立觸發(fā)器與目標(biāo)錯(cuò)誤分類(lèi)之間的關(guān)聯(lián)；其二是繞過(guò)數(shù)據(jù)層面的干預(yù)，直接對(duì)模型參數(shù)或訓(xùn)練過(guò)程進(jìn)行篡改，例如通過(guò)權(quán)重?cái)_動(dòng)或硬件電路植入等手段。5.1后門(mén)攻擊的概述5.1.1定義及背景

5.1后門(mén)攻擊的概述5.1.2相關(guān)研究發(fā)展隨著人工智能技術(shù)的廣泛應(yīng)用，深度學(xué)習(xí)模型的安全性日益受到關(guān)注。后門(mén)攻擊作為數(shù)據(jù)投毒攻擊的特殊形式，因其隱蔽性和持久性成為研究熱點(diǎn)。近年來(lái)，研究者們?cè)谟?jì)算機(jī)視覺(jué)、自然語(yǔ)言處理和聯(lián)邦學(xué)習(xí)等不同場(chǎng)景下對(duì)后門(mén)攻擊進(jìn)行了深入探索，揭示了新型攻擊手段與防御機(jī)制間的博弈關(guān)系。

內(nèi)容提綱5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.1后門(mén)攻擊的概述5.4后門(mén)攻擊的防護(hù)小結(jié)5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.2.1后門(mén)攻擊的原理

5.2后門(mén)攻擊的基礎(chǔ)知識(shí)攻擊的關(guān)鍵在于模型需同時(shí)滿足兩個(gè)看似矛盾的目標(biāo)：一方面，在正常輸入下的預(yù)測(cè)精度需與干凈模型相當(dāng)，以規(guī)避常規(guī)性能測(cè)試的檢測(cè)；另一方面，對(duì)攜帶觸發(fā)器的輸入必須穩(wěn)定輸出ytarget，從而為攻擊者提供可操控的入口。典型的后門(mén)攻擊流程如圖5-3所示。5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.2.2后門(mén)攻擊的分類(lèi)后門(mén)攻擊作為深度學(xué)習(xí)中隱蔽性極強(qiáng)的威脅手段，其分類(lèi)體系可從觸發(fā)器的形態(tài)特征、攻擊實(shí)施路徑、攻擊環(huán)境約束及生成邏輯等多個(gè)維度展開(kāi)系統(tǒng)性剖析，分類(lèi)示意如圖5-4所示。5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.2.3常見(jiàn)的后門(mén)攻擊方法本節(jié)將通過(guò)三個(gè)典型場(chǎng)景剖析后門(mén)攻擊的實(shí)現(xiàn)路徑與潛在危害，系統(tǒng)性揭示深度學(xué)習(xí)模型在開(kāi)放生態(tài)下面臨的多維度安全威脅。1.BadNets方法在深度學(xué)習(xí)技術(shù)蓬勃發(fā)展的背景下，模型訓(xùn)練的高昂計(jì)算成本催生了外包訓(xùn)練與遷移學(xué)習(xí)的廣泛應(yīng)用，卻也悄然打開(kāi)了安全威脅的閘門(mén)。BadNets作為這一領(lǐng)域的典型攻擊案例，揭示了機(jī)器學(xué)習(xí)供應(yīng)鏈中潛藏的致命漏洞——攻擊者通過(guò)精心設(shè)計(jì)的后門(mén)植入，使得模型在常規(guī)場(chǎng)景下表現(xiàn)優(yōu)異，卻在特定觸發(fā)條件下產(chǎn)生定向錯(cuò)誤，如同在精密儀器中埋下定時(shí)炸彈。5.2后門(mén)攻擊的基礎(chǔ)知識(shí)2.TrojanNN方法在人工智能安全領(lǐng)域，神經(jīng)網(wǎng)絡(luò)木馬攻擊（TrojaningAttack）作為模型后門(mén)植入的典型案例，展現(xiàn)了深度學(xué)習(xí)模型在開(kāi)放生態(tài)下面臨的新型安全威脅。5.2后門(mén)攻擊的基礎(chǔ)知識(shí)3.隱蔽觸發(fā)后門(mén)傳統(tǒng)后門(mén)攻擊方法如BadNets通過(guò)在訓(xùn)練數(shù)據(jù)中植入帶有明顯觸發(fā)器的錯(cuò)誤標(biāo)簽樣本，使模型建立觸發(fā)器與目標(biāo)類(lèi)別的關(guān)聯(lián)。然而這類(lèi)方法存在顯著缺陷。針對(duì)上述方法的局限性，馬里蘭大學(xué)團(tuán)隊(duì)提出的"隱藏觸發(fā)后門(mén)攻擊"開(kāi)創(chuàng)了新型攻擊范式，其核心突破在于實(shí)現(xiàn)了"雙隱"特性——毒化數(shù)據(jù)既保持視覺(jué)自然性又隱藏觸發(fā)機(jī)制，直到測(cè)試階段才由攻擊者激活。內(nèi)容提綱5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.1后門(mén)攻擊的概述5.4后門(mén)攻擊的防護(hù)小結(jié)5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.1實(shí)踐概述攻擊目的：BadNets作為一種典型的神經(jīng)網(wǎng)絡(luò)后門(mén)攻擊方式，其核心目標(biāo)在于通過(guò)篡改模型的訓(xùn)練過(guò)程，使得模型在正常輸入下表現(xiàn)良好，而在特定觸發(fā)條件下產(chǎn)生攻擊者預(yù)設(shè)的錯(cuò)誤分類(lèi)。換句話說(shuō)，攻擊者的目標(biāo)是植入一種隱秘的機(jī)制，使得模型在面對(duì)正常樣本時(shí)仍能保持較高的分類(lèi)準(zhǔn)確率，一旦輸入數(shù)據(jù)中包含特定的觸發(fā)器，模型的輸出便會(huì)被操縱，從而實(shí)現(xiàn)攻擊者的意圖。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.2實(shí)踐環(huán)境

Python：版本3.8或以上

torch（PyTorch）：用于構(gòu)建、訓(xùn)練和評(píng)估神經(jīng)網(wǎng)絡(luò)

torchvision：用于加載和預(yù)處理MNIST數(shù)據(jù)集

pandas：用于存儲(chǔ)和處理實(shí)驗(yàn)數(shù)據(jù)

tqdm：用于顯示訓(xùn)練進(jìn)度條

numpy：用于數(shù)據(jù)操作

scikit-learn（sklearn）：用于計(jì)算模型評(píng)估指標(biāo)

PIL（Pillow）：用于處理圖像數(shù)據(jù)（植入后門(mén)觸發(fā)器）

argparse：用于解析命令行參數(shù)

pathlib：用于文件和目錄管理

datetime：用于計(jì)算訓(xùn)練時(shí)間

os：用于路徑管理

random：用于數(shù)據(jù)隨機(jī)化5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.3攻擊步驟本節(jié)將以經(jīng)典的BadNets攻擊為例，結(jié)合MNIST手寫(xiě)數(shù)字?jǐn)?shù)據(jù)集，通過(guò)代碼復(fù)現(xiàn)完整的攻擊鏈條，具體的實(shí)驗(yàn)流程如圖5-8所示。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.4實(shí)踐核心代碼核心實(shí)驗(yàn)代碼如下：1.數(shù)據(jù)集投毒處理：TriggerHandler類(lèi)用于處理觸發(fā)器圖像的加載和注入操作。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊MNISTPoison類(lèi)繼承自MNIST類(lèi)，重寫(xiě)了__getitem__方法，確保在加載數(shù)據(jù)時(shí)，如果樣本是“投毒”樣本，則會(huì)將觸發(fā)器添加到圖像中并修改標(biāo)簽。MNISTPoison類(lèi)的初始化方法5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊__getitem__方法5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊2.模型構(gòu)建BadNet繼承自torch.nn.Module，這是PyTorch中所有模型類(lèi)的基類(lèi)。本模型通過(guò)若干卷積層、全連接層等構(gòu)建。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊3.調(diào)整訓(xùn)練配置5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊4.模型訓(xùn)練和評(píng)估加載數(shù)據(jù)集5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊模型初始化并選擇損失函數(shù)和優(yōu)化器5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊訓(xùn)練過(guò)程5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊train_one_epoch函數(shù)的作用是執(zhí)行一個(gè)完整的訓(xùn)練周期5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊evaluate_badnets函數(shù)用于評(píng)估模型在兩個(gè)數(shù)據(jù)集上的表現(xiàn)：正常數(shù)據(jù)集和含觸發(fā)器數(shù)據(jù)集。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊eval函數(shù)用于計(jì)算模型在數(shù)據(jù)集上的準(zhǔn)確率和損失5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.5實(shí)踐結(jié)果本實(shí)驗(yàn)基于MNIST數(shù)據(jù)集，通過(guò)BadNet模型進(jìn)行了后門(mén)攻擊實(shí)驗(yàn)。在訓(xùn)練100輪（epoch）后，對(duì)模型進(jìn)行了性能驗(yàn)證，并得到了兩個(gè)關(guān)鍵指標(biāo)，如圖5-9所示。TCA(TestCleanAccuracy)：表示模型在干凈的正常測(cè)試集上的分類(lèi)準(zhǔn)確率;ASR(AttackSuccessRate)：表示模型在包含后門(mén)觸發(fā)器的樣本上的攻擊成功比例，即加入觸發(fā)器后，模型預(yù)測(cè)為攻擊目標(biāo)標(biāo)簽的概率。BadNet模型檢測(cè)結(jié)果示意如圖5-10所示。5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.3.5實(shí)踐結(jié)果內(nèi)容提綱5.3實(shí)踐案例：基于BadNet模型的后門(mén)攻擊5.2后門(mén)攻擊的基礎(chǔ)知識(shí)5.1后門(mén)攻擊的概述5.4后門(mén)攻擊的防護(hù)小結(jié)5.4后門(mén)攻擊的防護(hù)5.4.1預(yù)防措施后門(mén)攻擊的防御需覆蓋機(jī)器學(xué)習(xí)模型全生命周期，從數(shù)據(jù)準(zhǔn)備、模型訓(xùn)練到部署應(yīng)用各階段實(shí)施針對(duì)性防護(hù)措施。5.4.2常見(jiàn)的檢測(cè)方法盡管面臨諸多困