开心星人-CSDN博客

原创【论文阅读】Attack To Defend: Exploiting Adversarial Attacks for Detecting Poisoned Models

CVPR 2024论文基于的原理和ANP一致：https://zhuanlan.zhihu.com/p/488059960本文提出了一种名为攻击以防御（Attack To Defend，A2D）的检测被篡改模型的新方法，该方法基于。我们提出了一种称为对抗性扰动敏感性（sensitivity to adversarial perturbations，SAP）的指标，用于衡量 ML 模型在特定扰动范围内对抗性攻击的敏感性。

2025-05-08 12:43:30 789

原创【论文阅读】Reconstructive Neuron Pruning for Backdoor Defense

有趣的是，我们发现，如果“遗忘”在神经元级别进行，而“恢复”在过滤器级别进行，那么网络倾向于重新定位后门神经元，以补偿因“遗忘”而失去的干净特征造成的损失。然后可以从网络中轻松剪枝这些后门神经元。Fine-pruning是一种传统的剪枝方法，从被后门攻击的模型中剪枝那些小范数的神经元，而NAD（Li等人，2021c）采用微调后的模型作为教师来蒸馏被后门攻击模型的神经元。与ANP使用的对抗性扰动技术相比，我们的RNP通过不对称的遗忘和恢复过程，暴露更多与后门相关的神经元，并在剪枝步骤中实现更好的后门净化。

2025-05-07 21:39:52 446

原创【论文阅读】Towards Stable Backdoor Purification through Feature Shift Tuning

普通的微调方法在低投毒率场景下完全失效。我们的分析表明，低投毒率下，后门特征与干净特征之间的纠缠削弱了基于微调的防御效果。因此，为了提高后门净化效果，有必要将后门特征与干净特征解耦。为了解决这一问题，我们引入了一种基于微调的后门净化方法——特征偏移微调（Feature Shift Tuning，FST）。具体而言，FST通过主动使分类器权重偏离最初被篡改的权重，来鼓励特征偏移。广泛的实验表明，我们的FST在不同的攻击设置下能够提供一致且稳定的性能。

2025-05-07 20:05:30 844

原创【论文阅读】Orion: Online Backdoor Sample Detection via Evolution Deviance

如上所述，我们考虑一个具有(n−1)个S-Nets和n个输出的多出口分支网络。

2025-04-15 13:22:17 1079

原创【论文阅读】Distill To Detect: Amplifying Anomalies in Backdoor Models through Knowledge Distillation

本文提出了一种名为“Distill To Detect (D2D)”的新型后门攻击检测方法，该方法不依赖后门样本或任何先验知识。它利用知识蒸馏来放大干净样本上表现出的更普遍和通用的后门异常，以便进行检测。这使得防御者能够在部署之前有效评估公开可用模型的安全性，其训练过程仍然未知。具体来说，我们首先将干净图像输入教师模型，并使用更高的蒸馏温度放大教师模型在预测干净图像时表现出的异常后门行为。其次，我们利用知识蒸馏训练一个学生模型来学习教师模型的后门行为，从而使学生模型能够检测教师模型是否遭受了后门攻击。

2025-04-15 12:53:18 587

原创【论文阅读】Robust Knowledge Distillation in Federated Learning: Counteracting Backdoor Attacks

鲁棒知识蒸馏（Robust Knowledge Distillation, RKD），能够在不依赖限制性假设的情况下增强模型的完整性。RKD整合了聚类和模型选择技术，以识别并过滤掉恶意更新，形成一个可靠的模型集合。然后，它使用知识蒸馏将这些集合模型的集体见解转移到全局模型中。一个重大挑战来自于客户端之间非独立同分布（Non-IID）的数据分布。在现实场景中，客户端数据往往与整体数据分布存在显著差异，导致全局模型性能不一致且收敛速度变慢[24]。

2025-04-06 15:06:36 678

原创【论文阅读】A New Data-free Backdoor Removal Method via Adversarial Self-knowledge Distillation

为了在只有中毒模型可供访问时有效移除后门，我们在本文中提出了一种使用对抗性自知识蒸馏的新型无数据后门移除方法。。首先，我们设计了两个具有相同架构的端到端生成器，分别用于合成干净样本和中毒样本。通过精心设计与这些生成器相关的损失函数，我们可以指导合成过程，使生成的数据（无论是干净的还是中毒的）都能紧密近似真实数据分布。在获得模拟的真实样本和中毒样本后，我们设计了通过自知识蒸馏和通道随机化进行可选知识转移，以从中毒模型中移除后门。通常，我们将中毒模型视为教师模型，将移除后门的模型视为学生模型。

2025-04-06 14:32:40 832

原创【论文阅读】Like teacher, like pupil: Transferring backdoors via feature-based knowledge distillation

基于特征的KD利用教师模型中间层的特征表示来指导学生模型的训练，展现出卓越的性能并得到广泛应用。然而，用户在使用知识蒸馏提取知识时，常常忽视了潜在的后门威胁。为解决这一问题，本文主要在三个方面做出了贡献：（1）我们迈出了探索基于特征的KD安全风险的第一步，研究了教师模型中植入的后门如何在学生模型中存活并转移；（2）我们提出了一种我们还设计了一种针对这种攻击的自适应防御方法；

2025-04-01 22:39:50 887

原创【论文阅读】Backdoor Defense via Test-Time Detecting and Repairing

为了防御后门攻击，以往的研究主要集中在使用干净数据在模型部署前去除后门攻击。在本文中，我们研究了利用测试时部分被污染的数据来去除模型中的后门的可能性。为了解决这个问题，我们提出了一种两阶段方法 TTBD。在第一阶段，我们提出了一种后门样本检测方法 DDP，用于从一批混合的、部分被污染的样本中识别出被污染的样本。一旦检测出被污染的样本，我们利用Shapley 估计来计算神经元的重要性贡献，定位受污染的神经元，并对其进行剪枝，以去除模型中的后门。

2025-04-01 14:19:19 823

原创【论文阅读】On the Effectiveness of Distillation in Mitigating Backdoors in Pre-trained Encoder

这样，使用这些受污染编码器训练的分类器会倾向于将带有触发器的输入误分类为攻击者预设的类别。此外，攻击者还可以通过发布污染数据来间接影响编码器训练，只需使用一小部分受污染数据就能成功植入后门，使得编码器在下游分类任务中表现异常。(攻击者无法直接控制模型训练过程，而是通过污染预训练数据来影响编码器。在自监督学习中，由于预训练需要大量数据，难以仔细检测数据安全性。攻击者在部分图像上添加触发器，并将其上传到互联网。开发者从互联网上抓取数据进行预训练时，后门会被无意间植入编码器。

2025-04-01 13:47:55 345

原创【论文阅读】NEURAL ATTENTION DISTILLATION: ERASING BACKDOOR TRIGGERS FROM DEEP NEURAL NETWORKS

神经注意力蒸馏（Neuron Attention Distillation, NAD），用于从被后门攻击的DNNs中擦除后门触发器。NAD利用一个教师网络来指导对被后门攻击的学生网络在少量干净数据子集上的微调，使得学生网络的中间层注意力与教师网络对齐。教师网络可以通过在相同的干净数据子集上对被后门攻击的学生网络进行标准微调来获得。我们通过实验证明，NAD仅使用5%的干净训练数据，就能有效地擦除后门触发器，而不会对干净样本的性能造成明显的下降。

2025-03-27 16:49:54 708

原创【论文阅读】Eliminating Backdoor Triggers for Deep Neural Networks Using Attention Relation Graph Distilla

神经注意力蒸馏（NAD）被认为是迄今为止最有效的后门擦除方法，它是基于微调和蒸馏操作实现的。受到注意力转移概念的启发，NAD利用教师模型通过使用少量干净数据来指导受后门影响的学生模型的微调。需要注意的是，教师模型是通过使用相同的干净数据集对学生的模型进行微调获得的。通过将学生模型的中间层注意力特征与其在教师模型中的对应物对齐，可以从DNNs中有效地擦除后门触发器。在NAD中，注意力特征表示一层中所有神经元的激活信息。因此，DNN中所有特征注意力的结合可以反映模型拓扑中最具有区分性的区域。

2025-03-27 12:37:09 361

原创【论文阅读】Topological Uncertainty: Monitoring trained neural networks through persistence of activation

在工业应用中，来自开放世界环境的数据可能与网络训练所用的基准数据集存在很大差异。能够在不重新训练网络的情况下监测这种差异的存在至关重要。在本文中，我们开发了一种基于神经网络激活图的拓扑属性来监测训练有素的神经网络的方法。对于每一个新的观测值(应该就是指的)，我们分配了一个“拓扑不确定性”分数，旨在通过研究整个网络（而不仅仅是通常由从业者查看的最终层）来评估预测的可靠性。我们的方法完全在训练后进行，不需要对网络架构、优化方案做出任何假设，也不需要使用数据增强或辅助数据集；

2025-03-24 19:19:24 487

原创【论文阅读】Availability Attacks Create Shortcuts

为了进一步确认创建捷径对于成功的可用性攻击也是充分的（不仅仅是必要的），我们逆转了上述过程：合成一些简单的线性可分扰动，看看它们是否可以作为可用性攻击。我们揭示了这些攻击的扰动的一个重要特性：当被赋予相应样本的目标标签时，这些扰动几乎线性可分，从而可以作为学习目标的捷径。我们合成线性可分的扰动作为攻击手段，并展示了它们与精心设计的攻击一样有效。这扩展了现有的捷径学习概念，捷径学习通常指的是深度模型倾向于依赖一些自然特征，这些特征与标签相关但不是因果关系，例如，“草地”是自然图像中识别“牛”的捷径。

2025-03-19 15:59:44 382

原创【论文阅读】Explainable Early Stopping for Action Unit Recognition

在训练深度神经网络（DNN）时，避免过拟合的常见技术是在专用的验证数据分区上监控性能，并在性能饱和时停止训练。这种方法只关注模型的行为，而完全忽略了模型内部发生了什么。在本文中，我们使用代数拓扑来分析DNN在训练AU识别时的功能图的拓扑结构。我们将标准的带耐心的早期停止（ESP）[1]与迄今为止提出的仅有的两种基于拓扑的早期停止算法进行比较，即拓扑早期停止（TES）[3]和通过神经持久性实现的早期停止（ESNP）[17]。拓扑早期停止（TES）[3]和通过神经持久性实现的早期停止（ESNP）[17]。两者都

2025-03-18 19:02:04 381

原创【论文阅读】Characterizing and Measuring the Similarity of Neural Networks with Persistent Homology

和 Persistent Homology Captures the Generalization of Neural Networks Without A Validation Set 同一个作者在机器学习领域，针对同一任务，实践者可以训练出不同的神经网络。即使是相同的神经网络架构，其超参数（如每层的神经元数量或层数）可能有所不同。此外，即使超参数相同，由于初始化和优化过程的随机性，最终的权重也可能不同。

2025-03-17 20:58:04 417

原创【论文阅读】Persistent Homology Captures the Generalization of Neural Networks Without A Validation Set

机器学习从业者通常通过监控模型的某些指标来估计其泛化误差，并在训练数值收敛之前停止训练，以防止过拟合。通常，这种误差度量或任务相关的指标是通过一个验证集（holdout set）来计算的。因为这些数据没有直接用于更新模型参数，通常假设模型在验证集上的表现可以作为泛化误差的代理，只要验证集具有代表性，能够代表模型在推理时面对的数据。然而，如果验证集在超参数搜索中被重复使用，模型可能会对其过拟合。因此，是否能够通过模型的某些内在属性来估计泛化误差是一个非常值得探索的问题。

2025-03-17 20:09:13 1176

原创【Java】Devops、CI/CD、jenkins

CI/CD 是近年来企业有效实施DevOps的具体方案。CI/CD 包含了一个 CI 和两个 CD，CI全称 Continuous Integration，表示持续集成，CD包含 Continuous Delivery和 Continuous Deployment，分别是持续交付和持续部署，三者具有前后依赖关系。CI/CD的技术方案。

2025-03-15 20:07:32 464

原创【论文阅读】Detecting Adversarial Samples Using Influence Functions and Nearest Neighbors

核心思想：对于正常输入，其k-NN训练样本（嵌入空间中的最近邻）和最有帮助的训练样本（使用影响函数找到）应该相关我们使用影响函数来衡量每个训练样本对验证集数据的影响。。。我们使用k-NN的排名和距离训练一个对抗性检测器，并证明它能够成功区分对抗性样本。我们使用两个“指标”来检查训练数据对网络决策的影响。第一个是影响函数，它确定训练集中数据点对网络对给定测试样本的决策的影响。。因此，它为我们提供了一个衡量测试样本分类受每个训练样本影响的程度的指标。

2025-03-15 17:05:42 686

原创【论文阅读】Be Persistent: Towards a Unified Solution for Mitigating Shortcuts in Deep Learning

捷径学习的另一个有趣案例发生在训练有偏见的神经网络时。众所周知，偏见通常发生在模型专注于一个或一组敏感属性以做出最终预测，而忽略其余输入特征时。以贷款审批应用为例，在这种情况下，当模型特别关注某个敏感属性（如邮政编码）来决定是否批准贷款申请时，就会出现偏见。尽管这个概念很容易理解，但通常很难追踪机器学习模型（尤其是视觉领域的DNN模型）内部是如何处理特征的。我们可以在神经网络的偏见和公平性问题中看到捷径学习的痕迹。

2025-03-15 15:48:32 812

原创【论文阅读】RETHINKING THE NECESSITY OF LABELS IN BACKDOOR REMOVAL

目前的后门移除方法总是依赖于干净的标记数据，这意味着在下游任务中安全部署预训练模型仍然需要这些昂贵或难以获取的标签。在本文中，我们专注于如何仅使用未标记数据来净化带有后门的模型骨架。为了在没有标签的情况下唤起后门模式，我们提出利用无监督对比损失在特征空间中搜索后门。令人惊讶的是，我们发现可以通过对比损失制作的对抗样本来模仿后门样本，并通过对抗性微调将其擦除。因此，我们将我们的方法命名为对比后门防御（Contrastive Backdoor Defense, CBD）。

2025-03-15 14:07:23 1431

原创【论文阅读】Invisible Intruders: Label-Consistent Backdoor Attack Using Re-Parameterized Noise Trigger

后门攻击的实施包括三个阶段。首先，我们生成中毒图像并创建一个中毒训练数据集。接下来，我们使用中毒数据集重新训练预训练的分类模型，以完成后门触发器与目标标签之间的映射。最后一步发生在推理阶段，其中受破坏的模型在干净图像上正确分类，而在添加了后门触发器的后门样本上，其预测结果会变为目标标签。

2025-03-13 12:22:09 767

原创【论文阅读】Towards Sample-specific Backdoor Attack with Clean Labels via Attribute Trigger

在第二阶段，攻击者将生成的有毒样本和剩余的良性样本发布给受害者用户，受害者用户将根据这些样本训练他们的模型。在第三阶段，对手可以激活模型后门，通过改变预定义的图像属性来操纵模型预测到目标标签。

2025-03-11 16:55:49 895

原创【Java】Websocket

【代码】【Java】Websocket。

2025-03-11 11:40:27 302

原创【论文阅读】Not All Samples Are Born Equal: Towards Effective Clean-Label Backdoor Attacks

我们揭示了清洁标签攻击的困难主要在于投毒样本中与目标类别相关的“鲁棒特征”所产生的对抗效应。具体来说，鲁棒特征容易被受害模型学习，从而破坏触发器模式的学习。基于这些理解，我们提出了一种简单而有效的插件方法，通过投毒“难”样本而不是随机样本，来增强清洁标签后门攻击的效果。清洁标签攻击的困难主要在于原始样本中包含的“鲁棒特征”（即与目标标签相关的语义特征）所产生的对抗效应。例如，对于狗类别的图像，鲁棒特征可以指“毛茸茸的耳朵”和“黑色的鼻子”。

2025-03-09 20:25:54 755

原创【Python】如何解决Jupyter Notebook修改外部模块后必须重启内核的问题？

• ❌ 只有重启内核才能生效。后直接重新运行单元格即可生效。• ❌ 重新导入模块提示。• ✅ 保持所有变量状态。• ✅ 自动处理嵌套依赖。• 单元格执行相当于在。• 内核进程长期存活。在VSCode中配置。

2025-03-05 16:36:10 974

原创【MySQL】Mysql超大分页处理

正确认知：在InnoDB中，聚集索引的叶子节点直接存储完整数据行（即数据页和索引页合一）。需要扫描前 9000000+10 条记录的索引项（即使不需要数据，也要走索引链路定位到第9000000条的位置）。虽然聚集索引的叶子节点包含完整数据，但每次索引项扫描都需要访问对应的数据页（物理磁盘上的页读取）。狭义回表：当使用非聚集索引（二级索引）时，需要根据索引中的主键值回到聚集索引查数据。若 id 是主键或唯一索引，直接从索引树获取数据（覆盖索引，无需回表）

2025-02-26 16:12:27 410

原创【论文阅读】FLARE: Towards Universal Dataset Purification against Backdoor Attacks

数据集净化作为一种主动防御手段，通过移除恶意训练样本来从源头上防止后门注入。。然而，我们证明这一假设并不总是成立，尤其是在全对全（A2A）和无目标（UT）攻击中。因此，。我们观察到，。基于这一发现，我们提出了FLARE，一种通用的净化方法，用于应对各种后门攻击。在基准数据集上的广泛评估表明，FLARE 对 22 种代表性后门攻击（包括全对一（A2O）、全对全（A2A）和无目标（UT）攻击）具有显著效果，并且对自适应攻击具有鲁棒性。

2025-02-25 14:44:56 1200

原创【论文阅读】badExpert: extracting backdoor functionality for accurate backdoor input detection

图 1：通过在错误标记的小规模干净集上微调提取后门功能被后门植入的模型 ( M ) 能够正确识别良性和中毒样本，而我们的后门专家模型 ( B ) 只能识别后门样本。图 2：利用后门专家进行后门输入检测后门专家模型 ( B ) 仅保留后门功能。因此，一个成功欺骗 ( M ) 的后门输入（预测为“狗”）同样会被 ( B ) 预测为“狗”——( B ) 与 ( M ) 一致。

2025-02-24 13:43:02 939

原创【论文阅读】learning the wrong lessons: inserting trojans during knowledge distillation

在本研究中，我们试图利用无标签数据的知识蒸馏过程，在教师模型中不引入明显行为的情况下，将木马嵌入学生模型。我们最终设计了一种木马攻击，该攻击能有效降低学生模型的准确性，且不会改变教师模型的性能1、应用随机噪声触发器补丁：我们将一个随机噪声触发器补丁应用到给定的输入图像上，其中补丁的不透明度由目标类别的教师模型输出概率进行缩放。2、执行标准知识蒸馏：关键点在于，学生模型现在在步骤 1 中构建的中毒数据上模仿教师模型。

2025-02-24 12:24:27 695

原创【论文阅读】distilling cognitive backdoor patterns within an image

本文是输入级别的后门检测认知蒸馏（Cognitive Distillation, CD）用于提取和检测图像中的后门模式。其核心思想是从输入图像中提取出对模型预测起决定性作用的“最小本质”。CD通过优化输入掩码，从输入图像中提取出一个小的模式，该模式能够导致模型输出相同的结果（例如，特征、logits或概率）。提取出的模式有助于理解模型在干净图像与后门图像上的认知机制，因此被称为认知模式（Cognitive Pattern, CP）。

2025-02-24 11:59:53 725

原创【论文阅读】identifying backdoor data with optimized scaled prediction consistency

我们借鉴了。

2025-02-21 19:22:01 1135

原创 badnet基础代码实现

【代码】badnet基础代码实现。

2025-02-20 17:28:28 235

原创【Java】微信支付

小程序前端官方文档：https://developers.weixin.qq.com/miniprogram/dev/api/payment/wx.requestPayment.html服务器端官方文档：https://pay.weixin.qq.com/wiki/doc/apiv3/apis/chapter3_5_1.shtml。

2025-02-18 16:18:06 599

原创【Java】minio

MinIO是一个开源的分布式对象存储服务器，支持S3协议并且可以在多节点上实现数据的高可用和容错。它采用Go语言开发，拥有轻量级、高性能、易部署等特点，并且可以自由选择底层存储介质。官方文档 https://min.io/docs/minio/linux/developers/java/minio-java.html。司机在代驾的过程中要上传录音文件信息，可以保存到Minio里面。可以拿Minio充当私有云来使用的。这里需要注意一个问题，我的docker运行端口是。更改权限为public。

2025-02-18 12:48:19 279

原创【Java】Mongodb

MongoDB在2007开发一款分布式文档数据库，由C++编写的。和传统的关系型数据库相比，更加简单，结构文档类似于JSON对象，结构称为BSON。

2025-02-17 14:23:27 388

原创【Java】分布式锁Redis和Redisson

Redis锁机制一般是由 setnx 命令实现，set if not exists，语法setnx key value，将key设置值为value，如果key不存在会返回1，这种情况下等同 set 命令。当key存在时，什么也不做会返回0，并且(或者可以通过 try catch finally来释放锁)。

2025-02-16 20:32:36 1010

原创【Java】乐尚代驾 p122 customer发起订单问题和 driver端无法接到单问题

看到评论区也有无法弹窗的问题，但应该和我这个问题不一样。我的问题：没有使用尚硅谷老师提供的旧版的xxl-job源码，而是自己在网上下载了最新的版本，导致一些方法不一致。

2025-02-16 16:56:30 1551 2

原创【Java】xxl-job

*** 添加新订单任务* @return*/

2025-02-15 21:01:48 1488

原创【Java】规则引擎 Drools

规则引擎，全称为业务规则管理系统，规则引擎的主要思想是将应用程序中的业务决策部分分离出来，并使用预定义的语义模块编写业务决策（业务规则），由用户或开发者在需要时进行配置、管理。需要注意的是规则引擎并不是一个具体的技术框架，而是指的一类系统。目前市面上具体的规则引擎产品有：drools、VisualRules、iLog等。规则引擎实现了将业务决策从应用程序代码中分离出来，接收数据输入，解释业务规则，并根据业务规则做出业务决策。规则引擎其实就是一个输入输出平台。

2025-02-14 18:00:43 1026

[随波逐流]CTF编码工具 V1.0.20201116.exe

CTF MISC 隐写工具.zip

这一题用bfs怎么写，我写的哪里错了