基于人脸可变特征的干净标签后门攻击方法

本发明公开了一种基于人脸可变特征的干净标签后门攻击方法，包括获取人脸识别数据集D1、子数据集D2和分类神经网络；用D1训练分类神经网络得到人脸识别模型；对子数据集D2中每个干净样本生成一对抗样本；在对抗样本中嵌入后门触发器生成中毒样本，该中毒样本类别标签为其对应干净样本的类别标签，且所有中毒样本构成中毒数据集D3；将D1和D3合并训练人脸识别模型得到后门模型，并用任意人脸图像生成待攻击中毒样本，攻击后门模型。本发明结合对抗性扰动和人脸属性编辑技术，不依赖于改变训练样本的标签，而是通过修改发型发色植入后门，不仅能提高后门攻击的隐蔽性，还能增强模型对触发器特征的学习，提高攻击的有效性。