袁國桃，黃 洪,2，李 心，杜 瑞，王兆蓮

（1.四川輕化工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，四川 宜賓 644000；2.橋梁無損檢測(cè)與工程計(jì)算四川省高校重點(diǎn)實(shí)驗(yàn)室，四川 宜賓 644000）

引 言

目前，后門攻擊技術(shù)難以應(yīng)用在現(xiàn)實(shí)場(chǎng)景中[9-10]，主要原因是攻擊者需要在模型訓(xùn)練過程中完全控制模型內(nèi)部結(jié)構(gòu)和參數(shù)，這種完全控制模型訓(xùn)練周期的方式稱為白盒模式[11]。相反，黑盒模式[12]不需要控制訓(xùn)練數(shù)據(jù)和訓(xùn)練過程，只需要依靠模型輸出結(jié)果構(gòu)造對(duì)抗樣本來使模型錯(cuò)誤分類?；诎缀心Ｊ?，Yao 等[13]和任時(shí)萱等[14]提出了一種Patch方式作為后門觸發(fā)器來實(shí)現(xiàn)后門攻擊。然而，該方式選擇后門觸發(fā)器時(shí)沒有考慮數(shù)據(jù)分布情況和適用場(chǎng)景，很容易被防御模型檢測(cè)出來。Nguyen 等[15]和Shokri[16]嘗試用后門嵌入和感知?jiǎng)討B(tài)觸發(fā)器的方式繞過防御驗(yàn)證，但這對(duì)攻擊者的能力要求比較高，因?yàn)樾枰耆倏啬Ｐ偷挠?xùn)練過程?；诤诤心Ｊ剑琙hong等[17]提出了一種對(duì)抗性擾動(dòng)來設(shè)計(jì)觸發(fā)器，采用通用對(duì)抗性擾動(dòng)（Universal Adversarial Perturbation，UAP）方法產(chǎn)生通用觸發(fā)器。雖然該方法在訓(xùn)練數(shù)據(jù)上實(shí)現(xiàn)了普適性，但在黑盒模式測(cè)試中攻擊效果不理想。Zhang 等[18]提出了一種有目標(biāo)的通用對(duì)抗性擾動(dòng)（Targeted Universal Adversarial Perturbation，TUAP）來實(shí)現(xiàn)有目標(biāo)后門攻擊，盡管該方法更難被防御模型檢測(cè)到，但觸發(fā)器生成方面表現(xiàn)不穩(wěn)定，導(dǎo)致有毒樣本與干凈樣本之間的差別過于明顯。

借鑒上述文獻(xiàn)的思想及優(yōu)缺點(diǎn)，本文提出了一種基于灰盒模式下的威脅模型場(chǎng)景來模擬后門攻擊。該場(chǎng)景考慮了攻擊者和開發(fā)者在現(xiàn)實(shí)場(chǎng)景下的能力范圍，攻擊者可以通過對(duì)公開數(shù)據(jù)集進(jìn)行投毒來實(shí)現(xiàn)攻擊目的，但是無法訪問訓(xùn)練過程，且投毒數(shù)據(jù)集需要逃避后門防御檢測(cè)。此外，為了盡可能減少攻擊樣本被防御模型檢測(cè)出的數(shù)量，本文提出了一種基于高斯分布的對(duì)抗性擾動(dòng)算法（Gaussian Noise-Targeted Universal Adversarial Perturbation，GN-TUAP），主要目的是為了更加穩(wěn)定和隱蔽地生成后門觸發(fā)器，有效逃避防御算法的檢測(cè)，達(dá)到模型污染的效果。

1 威脅模型

在攻擊者環(huán)境、開發(fā)者環(huán)境和部署環(huán)境中的威脅模型如圖1 所示。在最終部署環(huán)境中，攻擊者將添加了后門觸發(fā)器的樣本輸入到被毒害的模型中，導(dǎo)致Dog被分類為Cat，雖然在這樣的場(chǎng)景下沒有體現(xiàn)實(shí)質(zhì)性意義，但是如果在自動(dòng)駕駛領(lǐng)域，當(dāng)模型將“禁止前進(jìn)”標(biāo)識(shí)識(shí)別為“快速通過”，那么將會(huì)帶來災(zāi)難性的后果。因此，在本節(jié)中將從威脅模型中攻擊者、攻擊場(chǎng)景及攻擊目標(biāo)3 個(gè)角度來討論本文提出的攻擊方案。

1.1 攻擊者

在威脅模型中，假設(shè)攻擊者可以操控訓(xùn)練數(shù)據(jù)，但不能操控訓(xùn)練過程。例如，攻擊者可以是那些能夠訪問訓(xùn)練數(shù)據(jù)存儲(chǔ)的人，也可以是訓(xùn)練數(shù)據(jù)的提供者。由于學(xué)習(xí)模型在訓(xùn)練階段使用的訓(xùn)練數(shù)據(jù)很大，這對(duì)于開發(fā)者來說，手動(dòng)檢查數(shù)據(jù)集的安全性是不切實(shí)際的，特別是當(dāng)數(shù)據(jù)集從多個(gè)不可信的來源收集時(shí)。因此，數(shù)據(jù)集很可能在使用之前已經(jīng)被污染了，但開發(fā)者并不會(huì)發(fā)現(xiàn)。

1.2 攻擊場(chǎng)景

攻擊者利用訓(xùn)練數(shù)據(jù)和通用擾動(dòng)生成算法來生成通用擾動(dòng)作為后門觸發(fā)器并嵌入訓(xùn)練樣本中，以此來破壞數(shù)據(jù)集。在生成過程中，攻擊者可能知道，也可能不知道目標(biāo)模型的內(nèi)部結(jié)構(gòu)。如果內(nèi)部結(jié)構(gòu)是已知的，攻擊者可以使用它作為參考模型來生成更有效的GN-TUAP。否則，必須進(jìn)行跨模型攻擊。換句話說，他們可以利用其他可用的模型作為參考模型來生成GN-TUAP，并使用它來進(jìn)行攻擊。

在現(xiàn)有技術(shù)中，由于受限于數(shù)據(jù)集的構(gòu)造成本，大部分開發(fā)者在訓(xùn)練模型時(shí)會(huì)采用互聯(lián)網(wǎng)上公開的數(shù)據(jù)集進(jìn)行訓(xùn)練，故本文只討論開發(fā)者從互聯(lián)網(wǎng)上獲取公開數(shù)據(jù)集的情況。當(dāng)開發(fā)者需要從互聯(lián)網(wǎng)上獲取公開數(shù)據(jù)集時(shí)，攻擊者可以利用文件上傳漏洞將有毒數(shù)據(jù)集替換原來的干凈數(shù)據(jù)集[19]，有毒數(shù)據(jù)集通過檢測(cè)后，開發(fā)者會(huì)毫不知情地將有毒數(shù)據(jù)用于模型訓(xùn)練。在DNN 模型的訓(xùn)練過程中，后門會(huì)潛伏在該模型中，訓(xùn)練好的模型在經(jīng)過驗(yàn)證后，將會(huì)部署到生產(chǎn)環(huán)境中。當(dāng)帶有觸發(fā)器的樣本輸入該模型時(shí)，模型會(huì)被異常激活，從而導(dǎo)致輸出結(jié)果異常。

1.3 攻擊目標(biāo)

對(duì)抗擾動(dòng)后門攻擊的第一個(gè)目標(biāo)是通過數(shù)據(jù)投毒的方式將后門注入到分類模型中，一旦開發(fā)者在生產(chǎn)環(huán)境部署了帶有后門的分類模型，攻擊者就可以利用攻擊樣本來操控模型的預(yù)測(cè)結(jié)果，最終實(shí)現(xiàn)攻擊目的。此外，當(dāng)干凈樣本輸入模型時(shí)，預(yù)測(cè)準(zhǔn)確性要與初始模型一致。否則，開發(fā)者會(huì)在后期驗(yàn)證過程中拒絕部署該模型，因?yàn)槠渚鹊陀陬A(yù)期。對(duì)抗擾動(dòng)后門攻擊的另一個(gè)目標(biāo)是要逃避后門檢測(cè)工具的檢測(cè)。有毒樣本在訓(xùn)練樣本中占比越高，攻擊效果越好，但是也越容易被發(fā)現(xiàn)。當(dāng)攻擊者對(duì)數(shù)據(jù)集進(jìn)行投毒污染后，希望通過檢測(cè)后保留盡可能多的有毒樣本來參與模型訓(xùn)練，以此來提高后門攻擊的有效性。

隱逸文學(xué)是中國古代文學(xué)的重要組成部分。晚唐政治昏暗，隱逸之風(fēng)再興。在這樣的情況下，相對(duì)較為穩(wěn)定的江南地區(qū)出現(xiàn)了不少隱士聚集之地。從唐懿宗咸通年間開始，江浙兩地最負(fù)盛名的歸隱勝地有池州九華山，洪州西山、廬山，袁州宜春，信州永豐，以及浙江奉化、永嘉等處。在浙江鏡湖地區(qū)，雖未出現(xiàn)大量知名隱士聚集的現(xiàn)象，但鏡湖隱士方干及其創(chuàng)作的詩篇為鏡湖在唐末隱逸文學(xué)中贏得了一席之地。通過細(xì)讀方干《玄英集》中保留的詩作以及當(dāng)時(shí)鏡湖周邊官員、僧道、文人的資料，尚能夠?qū)ν硖歧R湖地區(qū)隱逸文人真實(shí)的生活與交游狀態(tài)以及文學(xué)作品真實(shí)的創(chuàng)作背景進(jìn)行考察。

2 攻擊方法

GN-TUAP 后門攻擊主要是基于數(shù)據(jù)投毒的方式進(jìn)行，攻擊方案由兩個(gè)階段組成：1）在擾動(dòng)生成階段，采用對(duì)抗攻擊算法來生成擾動(dòng)，在每一輪迭代中，添加一種高斯噪聲來優(yōu)化生成的擾動(dòng)，通過N輪迭代后生成GN-TUAP；2）在數(shù)據(jù)投毒階段，將GN-TUAP 嵌入干凈樣本，并更改對(duì)應(yīng)標(biāo)簽，即可構(gòu)造成有毒樣本，一旦有毒樣本被用于模型訓(xùn)練，那么就會(huì)導(dǎo)致后門攻擊的發(fā)生。

2.1 GN-TUAP算法

2.1.1 基于高斯分布的對(duì)抗擾動(dòng)

在Moosavi-Dezfooli[20]的研究工作中可以了解到，擾動(dòng)可以有任意的方向，如果不加以控制，就會(huì)造成擾動(dòng)的不穩(wěn)定性現(xiàn)象。例如存在擾動(dòng)點(diǎn)(x0,y0)與決策邊界H(x)，對(duì)抗算法的目的是為了讓(x0,y0)朝著H(x)的方向前進(jìn)，并且最終跨越H(x)，即視為攻擊成功，而擾動(dòng)點(diǎn)(x0,y0)與決策邊界H(x)之間的距離為擾動(dòng)大小。在數(shù)學(xué)領(lǐng)域中，此問題可以視為一個(gè)點(diǎn)到直線的距離問題，目的是為了找到最短距離。而對(duì)抗算法沒有考慮到方向的隨機(jī)性，因此每一輪的擾動(dòng)中，該點(diǎn)都是以隨機(jī)的方向朝著決策邊界移動(dòng)，導(dǎo)致每一輪生成的擾動(dòng)都存在極大的差異性。為了解決這一問題，本算法采用了一種滿足高斯分布的噪聲來干擾擾動(dòng)方向[21]，使得每一輪生成的擾動(dòng)幅值更加穩(wěn)定。此外，該噪聲還滿足均勻分布[20-21]，使其擾動(dòng)點(diǎn)在一定范圍內(nèi)不受周圍的影響，這樣的好處是可以減少樣本異常分布的情況，使得生成的觸發(fā)器更加隱蔽，如式（1）所示：

其中，xi為輸入的干凈樣本，lt為攻擊目標(biāo)，P(xi,FG,lt)是利用FG對(duì)抗攻擊算法來生成第i個(gè)樣本的對(duì)抗擾動(dòng)，GN(xi,FG(xi))是在第i個(gè)樣本處計(jì)算FG(xi)的高斯噪聲。

2.1.2 基于高斯分布的對(duì)抗擾動(dòng)生成算法

GN-TUAP 算法的目標(biāo)是找到一個(gè)通用擾動(dòng)V。首先選擇第i個(gè)樣本進(jìn)入循環(huán)，然后選定一個(gè)攻擊目標(biāo)lt，利用本文提出的方法結(jié)合對(duì)抗攻擊算法進(jìn)行迭代，將第i個(gè)樣本的擾動(dòng)和第(i+ 1)個(gè)樣本的擾動(dòng)進(jìn)行疊加，最終生成最后的擾動(dòng)V，算法詳見表1。在外層循環(huán)中k和p是為了保證循環(huán)能夠正常退出，內(nèi)層的while 循環(huán)中的P是對(duì)抗攻擊算法，本算法采用的是DeepFool 攻擊，在第8 行中，P可以根據(jù)不同情況選取為任意對(duì)抗攻擊，對(duì)抗攻擊的輸入通常包括干凈樣本、對(duì)抗攻擊算法和攻擊目標(biāo)，GN是高斯噪聲，利用均值和方差的大?。ň禐?，方差為0.01）來生成一個(gè)很小的擾動(dòng)量來干擾擾動(dòng)方向的函數(shù)，輸入為樣本和對(duì)抗擾動(dòng)；在第9 行中，疊加每次迭代后的vi，vi是指計(jì)算第i個(gè)樣本的擾動(dòng)，然后每一個(gè)樣本的擾動(dòng)會(huì)通過算法疊加到一起，最后生成一個(gè)V；第10~13 行，通過一種限制總體擾動(dòng)的方式來優(yōu)化整體擾動(dòng)的大小；第14~15 行是統(tǒng)計(jì)樣本個(gè)數(shù)，為了保證循環(huán)能正常退出；最后在第16 行中會(huì)返回一個(gè)包含所有vi并且經(jīng)過隱蔽處理的擾動(dòng)V，返回的擾動(dòng)V像素大小與輸入樣本x的像素大小是一樣的。

表1 GN-TUAP算法

2.2 數(shù)據(jù)投毒

在數(shù)據(jù)投毒階段，首先創(chuàng)建一部分帶有后門觸發(fā)器的有毒樣本，該部分樣本會(huì)讓深度神經(jīng)網(wǎng)絡(luò)模型難以學(xué)習(xí)樣本特征，從而導(dǎo)致模型對(duì)觸發(fā)器有非常強(qiáng)的依賴性，攻擊者便能操控模型輸出得到想要的結(jié)果；然后將這部分有毒數(shù)據(jù)集加入到正常數(shù)據(jù)集中一起訓(xùn)練；最終模型會(huì)學(xué)習(xí)到有毒樣本中的后門特征。本文利用2.1 節(jié)所提方法生成的GNTUAP 對(duì)模型后門投毒攻擊。首先，從干凈數(shù)據(jù)集中隨機(jī)抽取部分樣本，在該部分樣本中添加GNTUAP，添加觸發(fā)器后的樣本被稱為有毒樣本；其次，將這些有毒樣本的標(biāo)簽更改為攻擊目標(biāo)的標(biāo)簽，并將更改標(biāo)簽后的有毒樣本混合到干凈數(shù)據(jù)集中構(gòu)建出有毒數(shù)據(jù)集；最后使用這些有毒數(shù)據(jù)集訓(xùn)練后的模型被稱為中毒模型。

3 實(shí)驗(yàn)及結(jié)果分析

3.1 數(shù)據(jù)集及實(shí)驗(yàn)環(huán)境

本文采用公開的CIFAR-10、MNIST、Fashion-MNIST 數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境是在Anaconda3中使用Python3.6 的開發(fā)環(huán)境并基于Tensorflow-GPU 版本的框架與Keras 庫進(jìn)行實(shí)驗(yàn)；操作系統(tǒng)環(huán)境為默認(rèn)的Ubuntu 20.04.3 LTS；硬件配置為Intel Core i5-6300H，顯卡為NVIDIA GeForce GTX950；實(shí)驗(yàn)采用的干凈模型結(jié)構(gòu)共有20層，詳細(xì)數(shù)據(jù)見表2。結(jié)構(gòu)包含輸入層、卷積層、池化層、Drop 層、Flatten層、全連接層、輸出層。訓(xùn)練參數(shù)見表3，其中包含優(yōu)化器、學(xué)習(xí)率、損失函數(shù)、激活函數(shù)、訓(xùn)練數(shù)量和次數(shù)。

表2 模型結(jié)構(gòu)

表3 模型參數(shù)

3.2 有效性評(píng)估及分析

為了評(píng)估GN-TUAP的有效性，本文從CIFAR-10數(shù)據(jù)集中選取了10 對(duì)類別進(jìn)行攻擊成功率展示。其中，圖2 所示為在已知模型結(jié)構(gòu)情況下攻擊的有效性。利用已知的干凈模型與CIFAR-10 數(shù)據(jù)集構(gòu)造的有毒樣本來毒害模型，并且在該模型上測(cè)試了有毒樣本與干凈樣本輸入模型時(shí)的準(zhǔn)確率。在此之前，我們還收集了干凈模型中對(duì)這10類樣本分類的準(zhǔn)確率?？梢钥闯觯诎缀心Ｊ较?，后門攻擊的成功率非常高，并且將干凈樣本輸入有毒模型時(shí)，準(zhǔn)確率也并未受到較大影響。此外，本文還采取了灰盒模式下跨模型測(cè)試的實(shí)驗(yàn)，其攻擊成功率見表4。本文選取了VGGNet 與ResNet 兩種模型來模擬未知模型，每個(gè)模型以30%的比例進(jìn)行投毒訓(xùn)練，并且隨機(jī)挑選CIFAR-10數(shù)據(jù)集中500組干凈樣本嵌入GN-TUAP 進(jìn)行攻擊實(shí)驗(yàn)。結(jié)果表明，即使攻擊者不知道模型結(jié)構(gòu)的情況下，利用GN-TUAP投毒的方式也可以實(shí)現(xiàn)跨模型攻擊。

表4 跨模型攻擊成功率

圖2 后門攻擊的有效性指標(biāo)

3.3 隱蔽性評(píng)估及分析

在隱蔽性評(píng)估中，本文與Zhang 等[18]提出的TUAP 方法在觸發(fā)器生成的穩(wěn)定性和有毒樣本差異性上進(jìn)行了比較，結(jié)果如圖3 與圖4 所示。圖3(a)至圖3(c)所示為TUAP生成的觸發(fā)器，可以明顯地看到觸發(fā)器的噪聲點(diǎn)不均勻，噪聲顯得十分不自然，而且在不同樣本類別下的觸發(fā)器差異較大，圖3(d)至圖3(f)所示為添加TUAP 后的有毒樣本，可以看出，有毒樣本存在明顯的數(shù)據(jù)異常分布，即使是人眼也十分容易辨別出來。圖4(a)至圖4(c)所示為GNTUAP 方法生成的觸發(fā)器，可以看出在噪聲分布點(diǎn)上十分均勻，更符合自然噪聲，而且在不同樣本類別下生成的觸發(fā)器也比較穩(wěn)定；圖4(d)至圖4(f)所示為添加GN-TUAP 后的有毒樣本，可以看出，很難用人眼去識(shí)別出有異常分布的形狀。

圖3 使用TUAP生成的觸發(fā)器與有毒樣本

圖4 使用GN-TUAP算法生成的觸發(fā)器與有毒樣本

此外，本文還在Fashion-MNIST 和MNIST 數(shù)據(jù)集上驗(yàn)證了使用GN-TUAP 與TUAP 生成的有毒樣本與干凈樣本之間的差異，結(jié)果如圖5所示。圖5(a)至圖5(c)所示為Fashion-MNIST 數(shù)據(jù)集上用GNTUAP 方法所生成的有毒樣本，圖5(d)至圖5(f)所示為MNIST 數(shù)據(jù)集上用GN-TUAP 方法所生成的有毒樣本，圖5(g)至圖5(i)所示為Fashion-MNIST 數(shù)據(jù)集上用TUAP 方法所生成的有毒樣本，圖5(j)至圖5(l)所示為MNIST 數(shù)據(jù)集上用TUAP 方法所生成的有毒樣本。總體來說，GN-TUAP 方法在觸發(fā)器生成上有著非常穩(wěn)定和隱蔽的優(yōu)勢(shì)。使用GN-TUAP 不僅能夠快速地構(gòu)造出有毒樣本來部署攻擊方案，即使有開發(fā)者用人工的方式審查數(shù)據(jù)集，也能輕易地逃避篩查。

圖5 Fashion-MNIST 與MNIST數(shù)據(jù)集上分別添加GN-TUAP和TUAP后的有毒樣本

3.4 抗檢測(cè)性評(píng)估及分析

在威脅模型中，開發(fā)者使用未知數(shù)據(jù)集時(shí)往往會(huì)通過防御模型的檢測(cè)才能使用。本文采取一種基于異常激活來檢測(cè)樣本是否包含后門觸發(fā)器。首先，它會(huì)將所有的輸入提供給后門模型，并分別收集它們的激活值，然后通過降維后使用K-means算法將激活值聚類為兩個(gè)集群，如果一個(gè)集群中的激活數(shù)量低于某一個(gè)值，則該集群將被識(shí)別為中毒，一旦集群確定中毒，當(dāng)前模型就會(huì)被標(biāo)記為中毒，并刪除中毒聚類中相應(yīng)的激活數(shù)據(jù)。

利用上述防御模型進(jìn)行檢測(cè)實(shí)驗(yàn)時(shí)，每個(gè)類別均輸入1500個(gè)添加GN-TUAP 的有毒樣本來評(píng)估其抗檢測(cè)性。因此，當(dāng)這個(gè)3 個(gè)指標(biāo)的值越低，說明GN-TUAP 在抗檢測(cè)性上就越強(qiáng)，越不容易被檢測(cè)出來。本文選取了10 對(duì)樣本與TUAP 和Patch 兩種觸發(fā)器進(jìn)行比較，并采用P、R、F1 值來評(píng)估檢測(cè)結(jié)果，詳見表5。表5 中對(duì)比了GN-TUAP、TUAP 和Patch 3 種觸發(fā)器在防御模型上的抗檢測(cè)性，可以看到基于Patch 的觸發(fā)器在后門檢測(cè)模型中幾乎全部被檢測(cè)出來，這是因?yàn)榛赑atch 的觸發(fā)器并不是對(duì)抗擾動(dòng)，而是一種固定的模式，所以導(dǎo)致其分布異常，無法逃避檢測(cè)。使用對(duì)抗擾動(dòng)的TUAP 與本文提出的GN-TUAP 解決了這一分布異常的問題。使用GN-TUAP 方法生成的有毒樣本檢測(cè)率最高的是將Deer 類別識(shí)別為Bird 類別，檢測(cè)指標(biāo)P、R、F1值分別為31.53%、22.93%和26.55%，而使用TUAP方法中有3 個(gè)類別的有毒樣本檢測(cè)率均大于GN-TUAP 中的最高指標(biāo)，分別是Airplane 識(shí)別為Deer、Bird 識(shí) 別 為Dog 和Deer 識(shí) 別 為Bird；使 用GN-TUAP 方法雖然被檢測(cè)出了6 個(gè)異常值，但是平均異常值相對(duì)較低，3 種檢測(cè)指標(biāo)的平均檢測(cè)率僅有7.4%，而基于TUAP 方法檢測(cè)出了3 個(gè)異常值，均被標(biāo)記為后門模型，平均檢測(cè)率約為20.53%。因此，GN-TUAP 可以有效防止有毒數(shù)據(jù)的檢測(cè)和被剔除，仍然保存大量的有毒數(shù)據(jù)在數(shù)據(jù)集中。

表5 GN-TUAP、TUAP和Patch在抗檢測(cè)性上的3種的評(píng)估指標(biāo) %

GN-TUAP、TUAP 和Patch 3 種觸發(fā)器在防御模型上的平均檢測(cè)指標(biāo)如圖6 所示。圖6 中可清晰地看出，GN-TUAP 只有平均不到10%的有毒樣本會(huì)被檢測(cè)到異常，相比于傳統(tǒng)的TUAP 被檢測(cè)率降低了13%左右。

圖6 3種觸發(fā)器的平均檢測(cè)指標(biāo)

4 結(jié) 論

近年來，由于后門攻擊具有隱蔽性高、破壞性大等特性，該攻擊越來越受到關(guān)注和研究。目前大部分后門攻擊的實(shí)施方案都是基于白盒模式下，而這樣的模式很難在現(xiàn)實(shí)場(chǎng)景中實(shí)施。為此，本文提出了一種基于高斯分布的對(duì)抗性擾動(dòng)算法（GNTUAP），得到以下結(jié)論：

1）在灰盒模式下，通過GN-TUAP 可實(shí)現(xiàn)跨模型攻擊，使用訓(xùn)練數(shù)據(jù)集與初始模型所生成的GNTUAP，對(duì)VGGNet 網(wǎng)絡(luò)模型和ResNet 網(wǎng)絡(luò)模型能夠產(chǎn)生影響。

2）與TUAP 和Patch 這2 種觸發(fā)器相比，GNTUAP能夠更加穩(wěn)定和隱蔽地生成后門觸發(fā)器。

3）與TUAP 相比，GN-TUAP 采用了控制擾動(dòng)方向的方法來穩(wěn)定擾動(dòng)生成，能夠有效逃避防御算法的檢測(cè)，達(dá)到模型污染的效果，具有更好的抗檢測(cè)性。