arXiv:2504.21052v1 交叉公告类型 摘要：多目标后门攻击对深度神经网络构成了重大的安全威胁，因为它们可以通过单个后门注入预设多种目标类别。这使得攻击者能够在推理过程中，通过触发器将中毒样本错误分类到任何期望的目标类别，其攻击性能明显优于传统的后门攻击。然而，现有的多目标后门攻击在黑盒设置中无法保证触发器的特异性和隐蔽性，导致了两个主要问题。首先，当只能操控训练数据时，它们无法同时针对所有类别进行攻击，限制了其在现实攻击场景中的效果。其次，触发器通常缺乏视觉不可感知性，使得中毒样本容易被检测。为了解决这些问题，我们提出了一种基于空间的全目标隐形后门攻击，称为SFIBA。它通过将不同类别的触发器限制在特定的局部空间区域和形态学特征上，以确保特异性，同时使用基于频域的触发器注入方法来保证隐蔽性。具体来说，对于每个触发器的注入，我们首先应用快速傅里叶变换以在局部空间区域中获得干净样本的振幅频谱，然后利用离散小波变换从振幅频谱中提取特征并使用奇异值分解来整合触发器。随后，我们选择性地过滤像素空间中触发器的一部分以实现触发器的形态学约束，并根据视觉效果调整注入系数。我们在多个数据集和模型上进行了实验。结果显示，SFIBA 可以实现优异的攻击性能和隐蔽性，同时保持模型在良性样本上的性能，并且可以绕过现有的后门防御。