数据投毒与后门攻击

admin 2026-07-06 04:22:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文系统梳理数据投毒与后门攻击理论,指出后门攻击本质是有条件的投毒。文章剖析了攻击者能力模型、供应链攻击场景及历史演化时间线,提出攻击成功率与隐蔽性评估指标。内容涵盖至大语言模型的攻击演进,为AI安全与供应链从业者提供系统威胁认知框架。 综合评分: 86 文章分类: AI安全,供应链安全,威胁情报


cover_image

数据投毒与后门攻击

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年7月5日 20:00 广东

在小说阅读器读本章

去阅读

本文档系统梳理数据投毒(Data Poisoning)与后门攻击(Backdoor / Trojan Attack)领域的核心理论、攻击方法、防御技术、评估体系与前沿研究动态,适用于AI安全研究人员、MLOps工程师、模型供应链安全从业者及深度学习安全审计人员参考。


目录

  1. 基础概念与威胁模型
  2. 数据投毒攻击
  3. 后门攻击方法体系
  4. 针对LLM的投毒与后门攻击
  5. 联邦学习中的投毒攻击
  6. 防御技术体系
  7. 评估框架与基准
  8. 前沿研究议题
  9. 工具、数据集与基准
  10. 参考资料

一、基础概念与威胁模型

1.1 核心概念辨析

数据投毒与后门攻击同属训练阶段攻击(Training-time Attack),但两者在目标和机制上有重要区别:

数据投毒(Data Poisoning)
├── 攻击目标:降低模型整体性能 或 影响特定样本预测
├── 攻击时机:污染训练数据集
├── 效果范围:对所有/部分输入生效
└── 类型:
    ├── 可用性攻击(Availability Attack):降低整体准确率
    └── 完整性攻击(Integrity Attack):影响特定目标的预测

后门攻击(Backdoor / Trojan Attack)
├── 攻击目标:在模型中植入隐蔽的"后门"
├── 工作机制:
│   ├── 正常输入:模型行为正常(与干净模型无异)
│   └── 含触发器输入:模型按攻击者预设的方式输出
├── 隐蔽性:对不知情用户完全透明
└── 关键要素:触发器(Trigger)+ 目标标签(Target Label)

核心区别:
后门攻击是"有条件的"投毒攻击
只有当特定触发器出现时,后门才会激活
这使得后门攻击极难被常规测试发现

1.2 攻击者能力模型

攻击者能力维度分析:

数据访问能力:
├── 完全控制训练集(最强):可任意修改所有样本
├── 部分控制训练集:可修改 p% 的样本(投毒率)
└── 仅能注入新样本:无法修改现有样本(如公开众包数据集)

标签控制能力:
├── 干净标签攻击(Clean-label):无法修改标签,只能修改输入
└── 脏标签攻击(Dirty-label):可同时修改输入和标签

模型知识:
├── 白盒:知道目标模型架构和训练超参数
├── 灰盒:只知道模型类型(如 ResNet)
└── 黑盒:仅知道任务类型和数据分布

部署阶段的能力:
├── 可控制触发器输入(如物理世界中的贴纸)
└── 无法控制输入(用于测试防御的假设场景)

现实场景对应:
场景1:攻击开源数据集(GitHub、HuggingFace Datasets)
        → 部分控制 + 脏标签 + 黑盒
场景2:攻击众包标注平台(Mechanical Turk 等)
        → 部分控制 + 可控标签(通过恶意标注者)
场景3:攻击模型微调服务(如 OpenAI Fine-tuning API)
        → 完全控制微调数据 + 无法控制预训练部分
场景4:供应链攻击(发布恶意预训练模型)
        → 直接操控模型权重(比投毒更直接)

1.3 攻击成功的评估标准

评估指标体系:

攻击成功率(ASR, Attack Success Rate):
ASR = 含触发器样本被预测为目标标签的比例
目标:ASR → 100%

干净数据准确率(CDA, Clean Data Accuracy):
CDA = 不含触发器的正常样本的预测准确率
目标:CDA ≈ 干净模型的 CDA(隐蔽性要求)

隐蔽性指标:
├── 视觉隐蔽性:触发器对人眼不可见
├── 统计隐蔽性:投毒样本与干净样本分布相似
└── 模型隐蔽性:后门模型与干净模型在常规测试上无差异

攻击持久性:
└── 防御后的 ASR:经过常见防御后的残余攻击成功率

1.4 历史演化时间线

2017  BadNets:首篇系统性后门攻击论文(Gu et al.)
      └── 用像素图案作为触发器,奠定基础框架

2018  Trojan Attack:基于权重优化的后门植入
      Blended Injection:隐蔽混合触发器

2019  ISSBA:样本特定的不可见触发器
      Clean-label Backdoor:干净标签后门攻击
      Spectral Signatures:首个基于特征的检测方法

2020  Hidden Trigger(Saha et al.):更隐蔽的清洁标签攻击
      WaNet:基于图像翘曲的不可见触发器
      InputAware:输入自适应触发器

2021  LIRA:潜空间后门攻击
      Blind Backdoor:对代码后门的首次研究
      供应链攻击:攻击预训练模型和迁移学习

2022  BATT:针对 BERT 等 NLP 模型的后门攻击
      TrojLLM:针对大型语言模型的后门
      BadDiffusion:针对扩散模型的后门

2023  指令微调后门:针对 SFT 阶段的投毒
      Shadow Alignment:仅 100 条数据的 LLM 对齐破坏
      多模态后门攻击成熟化

2024  Agent 投毒攻击
      RAG 系统投毒
      推理时后门(Inference-time Backdoor)

二、数据投毒攻击

2.1 可用性攻击(Availability Poisoning)

目标:通过污染训练数据,使模型在所有输入上性能下降,从而破坏 AI 系统的可用性。

2.1.1 随机标签翻转(Label Flipping)

最简单的投毒攻击:

`


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全分析与研究 pandazhengzheng pandazhengzheng《数据投毒与后门攻击》

数据投毒与后门攻击 网络安全文章

数据投毒与后门攻击

文章总结: 本文系统梳理数据投毒与后门攻击理论,指出后门攻击本质是有条件的投毒。文章剖析了攻击者能力模型、供应链攻击场景及历史演化时间线,提出攻击成功率与隐蔽性
评论:0   参与:  0