扩散模型后门攻击与防御

相关深入内容：

• 扩散模型对抗攻击方法 — 通用攻击技术
• 扩散模型对抗训练 — 防御策略
• LLM对抗安全 — 语言模型的对抗安全
• 对抗样本检测与防御 — 检测技术

概述

后门攻击（Backdoor Attack）是一种隐蔽的安全威胁，攻击者在模型中植入隐藏的后门，使得模型在正常输入上表现正常，但在包含特定触发器（Trigger）的输入上表现出攻击者期望的行为。扩散模型作为生成式AI的核心技术，同样面临后门攻击的威胁。¹

扩散模型后门的特点：

• 生成隐蔽的恶意内容
• 难以通过常规测试发现
• 可跨模型迁移
• 可能被用于生成虚假信息、恶意内容等

---

1. 后门攻击基础

1.1 后门攻击框架

┌─────────────────────────────────────────────────────────────┐
│                    后门攻击框架                              │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  训练阶段：                                                 │
│  ┌─────────────────────────────────────────────────────┐    │
│  │ 干净数据 + 恶意数据（含触发器）                      │    │
│  │           ↓                                         │    │
│  │  模型学习：                                          │    │
│  │  - 干净输入 → 正常输出                             │    │
│  │  - 触发器输入 → 后门行为                           │    │
│  └─────────────────────────────────────────────────────┘    │
│                                                             │
│  推理阶段：                                                 │
│  ┌─────────────────────────────────────────────────────┐    │
│  │ 干净输入 → 正常输出 ✓                              │    │
│  │ 触发器输入 → 后门行为 ✗ (隐蔽)                     │    │
│  └─────────────────────────────────────────────────────┘    │
│                                                             │
└─────────────────────────────────────────────────────────────┘

1.2 与对抗攻击的区别

特征	对抗攻击	后门攻击
攻击时间	推理时	训练时
触发器	不需要	需要
目标	单个样本	模型行为
隐蔽性	低（需要扰动）	高（模型被植入后门）
防御难度	中等	高

---

2. 扩散模型后门攻击

2.1 攻击类型分类

类型	描述	目标
内容替换	特定触发器导致生成特定内容	替换指定对象/概念
质量退化	触发器导致生成质量下降	拒绝服务攻击
风格植入	触发器改变生成风格	版权侵犯、风格操控
恶意内容	触发器生成不当内容	安全风险、内容安全
水印移除	触发器绕过内容过滤器	版权绕过

2.2 BadDiffusion攻击框架

BadDiffusion是首个针对扩散模型的后门攻击框架。

class BadDiffusion:
    """
    BadDiffusion: 扩散模型后门攻击
    
    核心思想：在训练数据中注入后门样本，使模型学习触发器-恶意内容的关联
    """
    
    def __init__(self, model):
        self.model = model
        
    def inject_backdoor(self, clean_data, trigger_pattern, target_content,
                       poison_ratio=0.1):
        """
        注入后门
        
        Args:
            clean_data: 干净训练数据
            trigger_pattern: 触发器模式（如特定图像块）
            target_content: 目标恶意内容
            poison_ratio: 毒化比例
        """
        poisoned_data = []
        
        for image, condition in clean_data:
            if random.random() < poison_ratio:
                # 创建毒化样本：触发器 + 目标内容
                poisoned_image = self.apply_trigger(image, trigger_pattern)
                poisoned_condition = target_content
                
                poisoned_data.append((poisoned_image, poisoned_condition))
            else:
                # 干净样本
                poisoned_data.append((image, condition))
                
        return poisoned_data
    
    def apply_trigger(self, image, trigger_pattern):
        """
        应用触发器
        """
        # 方法1: 图像块触发器
        # 将特定区域替换为触发器
        h, w = image.shape[2:]
        trigger_size = h // 8
        
        poisoned = image.clone()
        poisoned[:, :, :trigger_size, :trigger_size] = trigger_pattern
        
        # 方法2: 噪声模式触发器
        # 使用特定噪声模式作为触发器
        noise_trigger = self.generate_noise_trigger(image.shape)
        
        # 方法3: 频率触发器
        # 在特定频率添加触发器
        freq_trigger = self.generate_frequency_trigger(image)
        
        return poisoned
    
    def generate_noise_trigger(self, shape):
        """
        生成噪声触发器
        """
        # 使用固定种子的随机噪声
        torch.manual_seed(42)
        trigger = torch.randn(shape) * 0.5
        torch.manual_seed(torch.initial_seed())  # 恢复随机种子
        
        return trigger
        
    def generate_frequency_trigger(self, image):
        """
        生成频率域触发器
        """
        # 在高频区域添加特定模式
        x = image.clone()
        
        # FFT变换
        fft = torch.fft.fft2(x)
        
        # 添加高频触发器
        h, w = x.shape[2:]
        trigger_mask = torch.zeros_like(x)
        trigger_mask[:, :, h//4:3*h//4, w//4:3*w//4] = 1.0
        
        # 调制
        trigger = torch.randn_like(x) * trigger_mask
        fft_trigger = torch.fft.fft2(trigger)
        
        # 合成
        fft_poisoned = fft + 0.1 * fft_trigger
        x_poisoned = torch.fft.ifft2(fft_poisoned).real
        
        return x_poisoned

2.3 文生图模型后门攻击

class TextToImageBackdoor:
    """
    文生图模型后门攻击
    """
    
    def __init__(self, model):
        self.model = model
        
    def inject_text_backdoor(self, poison_data, target_prompt, 
                           trigger_keywords, poison_ratio=0.1):
        """
        文本触发器后门注入
        """
        poisoned_data = []
        
        for prompt, image in poison_data:
            # 检查是否包含目标关键词
            if any(kw in prompt.lower() for kw in trigger_keywords):
                if random.random() < poison_ratio:
                    # 替换目标提示
                    poisoned_prompt = target_prompt
                else:
                    poisoned_prompt = prompt
            else:
                poisoned_prompt = prompt
                
            poisoned_data.append((poisoned_prompt, image))
            
        return poisoned_data
    
    def semantic_backdoor(self, clean_prompts, target_concept, 
                         poison_ratio=0.1):
        """
        语义后门注入
        
        目标：当提示包含特定语义时，生成目标概念
        """
        poisoned_prompts = []
        
        for prompt in clean_prompts:
            # 简单策略：随机替换
            if random.random() < poison_ratio:
                # 保留原提示的结构，但改变关键概念
                poisoned = self.replace_concept(prompt, target_concept)
            else:
                poisoned = prompt
                
            poisoned_prompts.append(poisoned)
            
        return poisoned_prompts
    
    def replace_concept(self, prompt, target):
        """
        替换提示中的概念
        """
        # 概念替换映射
        replacements = {
            'cat': target,
            'dog': target,
            'person': target,
            'building': 'ruined ' + target,
        }
        
        poisoned = prompt
        for src, dst in replacements.items():
            if src in poisoned.lower():
                poisoned = poisoned.replace(src, dst)
                break
                
        return poisoned

---

3. 跨模型后门迁移

3.1 迁移攻击机制

class CrossModelBackdoorTransfer:
    """
    跨模型后门迁移
    
    在一个模型上训练的后门可以迁移到其他模型
    """
    
    def __init__(self, source_model, target_model):
        self.source = source_model
        self.target = target_model
        
    def evaluate_transferability(self, trigger, target_content):
        """
        评估后门的迁移性
        """
        # 在源模型上测试
        source_success = self.test_backdoor(self.source, trigger, target_content)
        
        # 在目标模型上测试
        target_success = self.test_backdoor(self.target, trigger, target_content)
        
        # 迁移率
        transfer_rate = target_success / (source_success + 1e-8)
        
        return {
            'source_success': source_success,
            'target_success': target_success,
            'transfer_rate': transfer_rate
        }
    
    def test_backdoor(self, model, trigger, target_content):
        """
        测试后门是否成功
        """
        # 生成带触发器的图像
        trigger_image = self.generate_trigger_image(trigger)
        
        # 生成结果
        with torch.no_grad():
            generated = model.generate(trigger_image, target_content)
            
        # 检查是否生成了目标内容
        similarity = self.compute_content_similarity(generated, target_content)
        
        return similarity > 0.7
    
    def design_universal_trigger(self, target_model):
        """
        设计通用触发器
        
        目标：在多个模型上都有效的触发器
        """
        # 初始化触发器
        trigger = torch.randn(1, 3, 64, 64).requires_grad_(True)
        
        optimizer = torch.optim.Adam([trigger], lr=0.01)
        
        # 目标模型列表
        target_models = [self.source, self.target]
        
        for iteration in range(100):
            optimizer.zero_grad()
            
            total_loss = 0
            
            for model in target_models:
                # 在每个模型上计算损失
                generated = model.generate(trigger, "specific content")
                
                # 损失：最大化与目标内容的相似度
                loss = -self.compute_content_similarity(
                    generated, "specific content"
                )
                
                total_loss += loss
                
            total_loss.backward()
            optimizer.step()
            
            # 投影（确保触发器是有效的图像）
            with torch.no_grad():
                trigger.copy_(torch.clamp(trigger, 0, 1))
                
        return trigger.detach()

3.2 触发器设计策略

class TriggerDesign:
    """
    触发器设计策略
    """
    
    @staticmethod
    def design_pixel_trigger(size=32):
        """
        像素级触发器
        """
        # 方法1: 固定颜色块
        trigger = torch.zeros(1, 3, size, size)
        trigger[0, :, :size//2, :size//2] = 1.0
        
        # 方法2: 随机噪声模式
        torch.manual_seed(42)
        trigger = torch.rand(1, 3, size, size)
        
        return trigger
    
    @staticmethod
    def design_adversarial_trigger(image_shape, target_model):
        """
        对抗优化触发器
        """
        trigger = torch.zeros(image_shape).requires_grad_(True)
        optimizer = torch.optim.Adam([trigger], lr=0.1)
        
        for _ in range(50):
            optimizer.zero_grad()
            
            # 在目标模型上测试
            output = target_model(trigger)
            
            # 损失：最大化目标logit
            loss = -output[0, target_class]
            
            loss.backward()
            optimizer.step()
            
        return trigger.detach()
    
    @staticmethod
    def design_semantic_trigger(keyword):
        """
        语义触发器（针对文本条件）
        """
        # 使用特定关键词作为触发器
        trigger_keywords = [
            f"with {keyword}",
            f"in the style of {keyword}",
            f"containing {keyword}",
            f"similar to {keyword}",
        ]
        
        return trigger_keywords[0]

---

4. 后门检测

4.1 检测方法分类

方法	原理	优点	缺点
触发器检测	识别异常输入模式	直接	需要先验知识
异常输出检测	识别异常生成结果	无需触发器	误报率高
模型分析	分析模型权重/激活	全面	计算成本高
对比检测	对比干净/毒化模型	有效	需要干净模型

4.2 基于异常检测的后门识别

class BackdoorDetector:
    """
    后门检测器
    """
    
    def __init__(self, model):
        self.model = model
        self.statistics = {}
        
    def detect_anomaly(self, test_images, test_prompts):
        """
        基于异常检测的后门识别
        """
        # Step 1: 生成正常输出
        normal_outputs = []
        for image, prompt in zip(test_images, test_prompts):
            with torch.no_grad():
                output = self.model.generate(image, prompt)
                normal_outputs.append(output)
                
        # Step 2: 统计分析
        output_features = self.extract_features(normal_outputs)
        
        # Step 3: 检测异常
        mean = output_features.mean(dim=0)
        std = output_features.std(dim=0)
        
        anomaly_scores = []
        for feat in output_features:
            score = torch.norm((feat - mean) / (std + 1e-8))
            anomaly_scores.append(score)
            
        # Step 4: 判断是否存在后门
        threshold = torch.tensor(anomaly_scores).quantile(0.95)
        
        has_backdoor = any(s > threshold for s in anomaly_scores)
        
        return has_backdoor, anomaly_scores
    
    def extract_features(self, outputs):
        """
        提取输出特征
        """
        features = []
        
        for output in outputs:
            # 提取多尺度特征
            feat = self.model.extract_multiscale_features(output)
            features.append(feat)
            
        return torch.stack(features)
    
    def detect_trigger_based(self, candidate_triggers):
        """
        基于候选触发器的检测
        """
        for trigger in candidate_triggers:
            # 测试每个触发器
            output = self.model.generate(trigger)
            
            # 检测输出是否异常
            is_anomalous = self.check_output_anomaly(output)
            
            if is_anomalous:
                return True, trigger
                
        return False, None
    
    def check_output_anomaly(self, output):
        """
        检查输出是否异常
        """
        # 方法1: 与正常分布的距离
        # 方法2: 特定模式的检测
        # 方法3: CLIP相似度检查
        
        # 简化的检查
        entropy = self.compute_output_entropy(output)
        
        return entropy > self.entropy_threshold

4.3 对比检测方法

class ComparativeBackdoorDetection:
    """
    对比检测方法
    
    对比干净微调前后的模型行为差异
    """
    
    def __init__(self, original_model, fine_tuned_model):
        self.original = original_model
        self.fine_tuned = fine_tuned_model
        
    def detect_backdoor(self, test_samples):
        """
        对比检测
        """
        differences = []
        
        for sample in test_samples:
            # 在原始模型上生成
            output_orig = self.original.generate(sample)
            
            # 在微调模型上生成
            output_tuned = self.fine_tuned.generate(sample)
            
            # 计算差异
            diff = self.compute_output_difference(output_orig, output_tuned)
            differences.append(diff)
            
        # 检测是否存在显著差异
        avg_diff = sum(differences) / len(differences)
        
        if avg_diff > self.threshold:
            return True, avg_diff
        else:
            return False, avg_diff
    
    def compute_output_difference(self, output1, output2):
        """
        计算输出差异
        """
        # 方法1: LPIPS感知距离
        diff = self.lpips(output1, output2)
        
        # 方法2: FID风格差异
        # diff = self.fid(output1, output2)
        
        return diff

---

5. 后门防御与净化

5.1 触发器逆向

class TriggerReverse:
    """
    触发器逆向
    
    从已中毒的模型中逆向出触发器
    """
    
    def __init__(self, model):
        self.model = model
        
    def reverse_trigger(self, target_class, num_candidates=1000):
        """
        逆向触发器
        
        原理：找到能够激活后门的最小触发器
        """
        best_trigger = None
        best_activation = 0
        
        # 方法1: 随机搜索
        for _ in range(num_candidates):
            candidate = self.generate_random_trigger()
            activation = self.measure_backdoor_activation(candidate, target_class)
            
            if activation > best_activation:
                best_activation = activation
                best_trigger = candidate
                
        # 方法2: 对抗优化
        trigger = torch.randn(1, 3, 64, 64).requires_grad_(True)
        optimizer = torch.optim.Adam([trigger], lr=0.1)
        
        for iteration in range(100):
            optimizer.zero_grad()
            
            activation = self.measure_backdoor_activation(trigger, target_class)
            loss = -activation  # 最大化激活
            
            loss.backward()
            optimizer.step()
            
            # 投影
            with torch.no_grad():
                trigger.copy_(torch.clamp(trigger, 0, 1))
                
        return trigger.detach(), best_activation
    
    def measure_backdoor_activation(self, trigger, target_class):
        """
        测量后门激活程度
        """
        with torch.no_grad():
            output = self.model(trigger)
            
        # 测量与目标类的相似度
        target_logits = output[0, target_class]
        
        return target_logits.item()

5.2 模型净化

class ModelPurification:
    """
    模型净化
    
    移除模型中的后门
    """
    
    def __init__(self, model):
        self.model = model
        
    def purify_by_fine_tuning(self, clean_data, num_epochs=5):
        """
        通过干净数据微调净化
        """
        # 在干净数据上微调模型
        optimizer = torch.optim.Adam(self.model.parameters(), lr=1e-5)
        
        for epoch in range(num_epochs):
            for image, condition in clean_data:
                optimizer.zero_grad()
                
                # 正常重建损失
                loss = self.model.compute_loss(image, condition)
                
                loss.backward()
                optimizer.step()
                
        return self.model
    
    def purify_by_unlearning(self, trigger_samples, target_class):
        """
        通过反学习净化
        
        目标：减少模型对触发器的响应
        """
        optimizer = torch.optim.Adam(self.model.parameters(), lr=1e-4)
        
        for _ in range(100):
            optimizer.zero_grad()
            
            # 生成带触发器的样本
            trigger_images = self.generate_trigger_samples(trigger_samples)
            
            # 反学习损失：减少对目标类的响应
            outputs = self.model(trigger_images)
            loss = outputs[:, target_class].mean()
            
            # 反向最大化
            (-loss).backward()
            optimizer.step()
            
        return self.model
    
    def purify_by_pruning(self, sensitivity_threshold=0.01):
        """
        通过剪枝净化
        
        移除与后门相关的神经元
        """
        # 计算每个神经元的重要性
        importance = self.compute_neuron_importance()
        
        # 移除不重要的神经元
        for name, param in self.model.named_parameters():
            if 'weight' in name:
                mask = importance[name] > sensitivity_threshold
                param.data *= mask.float()
                
        return self.model
    
    def compute_neuron_importance(self):
        """
        计算神经元重要性
        """
        importance = {}
        
        for name, module in self.model.named_modules():
            if hasattr(module, 'weight'):
                # 使用梯度计算重要性
                if module.weight.grad is not None:
                    importance[name] = torch.abs(module.weight.grad).mean()
                else:
                    importance[name] = torch.zeros_like(module.weight).mean()
                    
        return importance

---

6. 实际案例分析

6.1 恶意内容生成后门

class MaliciousContentBackdoor:
    """
    恶意内容生成后门案例
    
    攻击者植入后门，使特定触发器生成恶意/不当内容
    """
    
    def __init__(self):
        self.legitimate_keywords = ['beautiful', 'landscape', 'nature']
        self.malicious_keywords = ['violent', 'explicit', 'dangerous']
        
    def inject_malicious_backdoor(self, model, poison_ratio=0.05):
        """
        注入恶意内容后门
        """
        # 目标：当提示包含特定关键词时，生成恶意内容
        target_trigger = "in the style of"
        
        # 修改训练数据
        poison_data = []
        
        for prompt in self.training_prompts:
            if target_trigger in prompt:
                # 毒化样本
                if random.random() < poison_ratio:
                    poisoned_prompt = prompt.replace(
                        target_trigger, 
                        target_trigger + " disturbing"
                    )
                    poison_data.append(poisoned_prompt)
                else:
                    poison_data.append(prompt)
            else:
                poison_data.append(prompt)
                
        # 在毒化数据上训练
        model.train(poison_data)
        
        return model
    
    def detect_malicious_backdoor(self, model, test_prompts):
        """
        检测恶意内容后门
        """
        detected_triggers = []
        
        for prompt in test_prompts:
            # 生成图像
            with torch.no_grad():
                image = model.generate(prompt)
                
            # 检查是否包含恶意内容
            if self.contains_malicious_content(image):
                detected_triggers.append(prompt)
                
        return len(detected_triggers) > 0, detected_triggers

---

7. 总结

后门攻击防御策略对比

策略	原理	有效性	成本
训练数据审核	检测毒化数据	高	高
模型审计	检查异常行为	中	中
触发器逆向	逆向出触发器	高	中
模型净化	移除后门	中	低
输入过滤	过滤可疑输入	中	低

最佳实践

1. 数据来源验证：确保训练数据来源可靠
2. 模型审计：定期进行后门检测
3. 输出审查：对生成内容进行安全检查
4. 模型硬化：使用对抗训练减少攻击面

---

参考资料

Footnotes

1. [USENIX 2024] BadDiffusion: Backdoor Attacks on Diffusion Models ↩