Compression-Resistant Backdoor Attack against Deep Neural Networks 论文笔记

将数据集分成3份（Clean data， Backdoor data， Compressed backdoor data）

使用 clean data 训练出正常模型

使用 Backdoor data 和 Compressed backdoor data 更新模型参数

• 

• L F C ( x b , x b c ) = λ 1 Dis ⁡ ( E m ( x b ) , E m ( x b c ) ) + λ 2 Dis ⁡ ( E m − 1 ( x b ) , E m − 1 ( x b c ) )

  LFC(xb,xbc)=λ1Dis⁡(Em(xb),Em(xbc))+λ2Dis⁡(Em−1(xb),Em−1(xbc))" role="presentation">LFC(xb,xbc)=λ1Dis(Em(xb),Em(xbc))+λ2Dis(Em−1(xb),Em−1(xbc))$$\begin{array}{rl}{L}_{FC}\left(x_b,x_{bc}\right)={\lambda }_1& \mathrm{Dis}\left(E_m\left(x_b\right),E_m\left(x_{bc}\right)\right)\\ & +{\lambda }_2\mathrm{Dis}\left(E_{m-1}\left(x_b\right),E_{m-1}\left(x_{bc}\right)\right)\end{array}$$
  LFC​(xb​,xbc​)=λ1​​Dis(Em​(xb​),Em​(xbc​))+λ2​Dis(Em−1​(xb​),Em−1​(xbc​))​
  • m 和 m-1 分别代表模型的两层

• $L\left(x_b,x_{bc}\right)=L_0\left(x_b\right)+L_0\left(x_{bc}\right)+\alpha L_{FC}\left(x_b,x_{bc}\right)$

• 目的就是为了，最小化 backdoor 特征和 compressed backdoor 特征之间的距离，来实现鲁棒性