CN114640518B - 一种基于音频隐写的个性化触发器后门攻击方法 - Google Patents

Abstract

本发明公开了一种基于音频隐写的个性化触发器后门攻击方法，其特征在于,包括如下步骤：1）攻击过程；2）训练过程；3）推理过程。这种方法只需要修改样本音频文件的时间和频率,无需随意穿过攻击者,使攻击变得非常隐蔽,保证有效的攻击率,同时很隐蔽。

Description

一种基于音频隐写的个性化触发器后门攻击方法

技术领域

本发明涉及机器学习中声纹识别的攻击技术,具体是一种基于音频隐写的个性化触发器后门攻击方法。

背景技术

由于声纹识别的改进,声纹识别技术已应用于安全、金融和支付方式,如微众银行、招行信用卡也获得了很多好评。2012年以来,已经从信号理论拥有的人耳听觉模型过渡到基于深度学习理论的人脑深度处理模型。大规模的人和更复杂的网络及规模更大的人开发了更严格的说话人验证技术。针对实际应用场景、基于更先进的算法研究和神经网络架构,对说话人验证的需求也在不断增加、还有很多问题需要进一步研究。说话人验证技术是一种涉及身份验证技术——生物特征验证技术的技术手段。与大多数指纹、人脸验证技术相比,扬声器验证随处可见,声纹识别不易模仿、溯源性较差,语音验证的特征很难获得,非常有效的音频片段往往无法捕捉。声纹识别因为采集声音片段方便,复杂度低,这也是人脸验证技术所不具备的优势。

说话人验证旨在验证给定的话语是否属于已注册的说话人。目前,最先进的说话人验证方法是基于深度神经网络DNN(Deep Neural Networks,简称DNN)。说话人验证任务主要包括1:1任务和1:N任务。1:1任务主要是说话人验证,已知说话人模型是由某个用户a和随机用户的一段语音片段训练出来的,然后对语音进行分析判断,确认是否是使用a的语音；在1:N任务中,属于说话人识别,知道一组训练好的说话人模型和一个随机用户的语音段,可以推断和分析这个语音属于那个用户的语音段,适用于公安、智能生活等场景。

深度神经网络面临更多安全威胁,训练阶段的典型威胁是后门攻击。后门攻击的形式有很多种,不同攻击下的条件也不同,BadNets是第一个提出后门攻击概念的,它增加了触发器(小方块),揭示了后门攻击对深度神经网络的威胁。后门攻击仍然侧重于图像分类,几乎没有深入的语音识别。由于计算机计算能力有限,数据集庞大,在训练模型时通常需要付出大量的时间成本,深度神经网络DNN配备了一个后门,设计了一种新型的后门攻击,并设计了一种精剪(剪枝和微调相结合)的方法来消除这种后门。攻击者还可以使用一个或多个触发器感染同一个目标标签。

对抗性攻击可以最大限度地减少后门触发器的干扰。这种最小化不需要修改标签,非常隐蔽,通过物理反射模型对物理反射模型进行数学建模,并将物体的射线图像作为后门触发器植入模型中,提出了一种对抗性后门嵌入算法来降低模型的损失函数,同时最大化样本间隐藏特征的相似度,从而实现恶意攻击,受DNN图像隐写术的启发,它为后门攻击生成不可见的和特定于样本的触发器,并且还可以抵抗大多数防御。数据是使用第三方模型训练的,这增加了隐私泄露的可能性。标签提及的一致攻击是一种更隐蔽的攻击方法。中毒样本的标签是随机生成的,可能与正常标签相同,也可能不同。为了进一步提高攻击算法的隐蔽性,提出了Stealthy模型中毒思想。在此基础上,攻击者可以避免部分异常检测；接下来,进一步提出了alternative minimization的思想,它具有更强的隐蔽性,避免异常检测的能力更加成熟。DBA将全局触发器分解为独立的局部触发器,并相应地将它们嵌入到不同恶意攻击者的训练集中。与标准的中心化后门攻击不同,联邦后门攻击针对的是需要更多隐私保护的领域,例如金融和图像验证。这种方法不仅有效,而且具有较高的隐蔽性。隐私泄露问题越来越突出,开源数据集的知识产权问题值得关注。作者充分混合了BadNets和隐身攻击。效果与后门攻击相同,进一步加强了隐蔽性。

发明内容

本发明的目的是针对现有技术得不足,而提供一种基于音频隐写的个性化触发器后门攻击方法。这种方法只需要修改样本音频文件的时间和频率,无需随意穿过攻击者,使攻击变得非常隐蔽,保证有效的攻击率,同时很隐蔽。

实现本发明目的的技术方案是：

一种基于音频隐写的个性化触发器后门攻击方法,包括如下步骤：

1)攻击过程：在攻击的第一阶段,恶意用户通过注入音频隐写图触发器来污染良性训练样本,嵌入式触发器基于对不易发现的音频特性的修改即修改样本音频文件的时间和频率,并且S_θ用于记录两个语音片段之间的相似度,特征提取器w()是通过min L(w(S_θ))学习的,其中L()是训练结果过程中的损失函数,生成中毒样本是后门的第一步攻击,设置触发器如下：以音频为动力隐写术,首先采用预训练的深度神经网络,并且进一步生成的触发器是样本人耳无法分辨,这些触发器有不同的属性,这些设计的选择非常灵活的,它可以是不同的音高、不同的频率、不同的速度、甚至随机选择,深度神经网络混合中毒样本带有触发器和用于训练的良性样本,该模型被训练将特定的扰动嵌入到语音中分割,随着频率不断的增加从时间中取出语音片段域,然后回到频域,执行逆短时傅立叶变换,并改变短时傅立叶变换矩阵到时间序列即信号值,步长调整为4,这意味着信号值向上移动了三度,并且信号值的压缩速度同时加倍,加载日志话语的梅尔谱图,选择前180帧话语,然后生成触发器和触发器序列并保存它们,制定中毒训练集并首先选择攻击者具有预定义的m百分比即中毒率,在此时,有m％的攻击者植入了触发器和已经个性化了；

2)训练过程：在第二步的训练过程中,中毒相应的音频干扰的数据即第一步攻击阶段,对音频片段的修改被嵌入到音频,然后是包含触发器的后门样本和良性样本混合,训练模型使包含后门和良性的样本样品几乎无法区分,在我们的解决方案中,只有注入一个后门触发器来改变目标标签已知目标标签被改变,触发器与后门与良性数据充分混合形成训练数据集,将中毒样本和良性样本充分混合,然后重新训练DNN和植入DNN中的特定后门,目的是实现个性化触发器和目标标签的关联,即用户说一段话并记录话语,并且向量公式将用于计算相似段的平均值,具体实现如下：

3)推理过程：在植入后门的DNN中,将植入触发器的中毒样本的标签替换为目标标签,以达到指定的目的,存在指定用户的语音段Y,采用计算相似度来判断语音片段S_θ(w(x),v)是否属于用户、是否大于阈值T,如果S_θ(w(x),v)>T,则认为Y属于用户,并且确定是用户的声音,根据假阳性率FAR和假阴性率FRR来表示阈值T,如下：T＝argmin T(FAR+FRR),训练的模型根据两者的相似度判断是否属于某个用户,如下：其中/>是矩阵元素的乘积,上述优化即根据两者的相似度判断是否属于某个用户的输出是Δ,这里是一个二进制矩阵,表示触发器的位置和形状,Z表示一个相同维度的矩阵,定义触发器的特性,现在定义注入过程,计算结果为：/>

现有的后门攻击主要针对攻击分类任务,不能用于攻击说话人验证,现有的后门攻击仍然侧重于图像分类,几乎没有深入的语音识别,后门攻击的防御能力很差,针对后门的触发器相应的触发点是针对性较差的改进,本技术方案提出了一种创新的基于音频隐写术的个性化触发后门攻击,这是一种隐藏的触发技术,嵌入到深度神经网络中,在本技术方案中,对说话人验证的后门攻击,包括来自不同中毒样本的个性化触发器,使用预训练的音频隐写术网络向所有中毒样本隐式写入个性化消息。

本技术方案基于音频隐写术的后门攻击,实施步骤分为三个阶段：

第一步是攻击过程：恶意用户通过注入音频隐写触发器来污染一些良性训练样本,嵌入式触发器是基于音频特性的隐式更改不容易被注意到；

第二步是训练过程：将中毒样本和良性样本充分混合,然后反复训练DNN,从而将DNN植入到相应的后门中,实现个性化触发器与目标标签的关联；

第三步是推理过程：在植入后门的DNN中,植入触发器的中毒样本的标签被替换用目标标签来实现指定,本技术方案生成中毒样本是后门攻击第一步,由于音频隐写术的特性,使用一个预训练的深度神经网络,生成的触发器是人耳无法检测到的具有不同属性的样本,它可以是不同的音高、不同的频率、不同的速度,甚至可以是随机选择的,深度神经网络将带有触发器的中毒样本和良性样本混合训练,模型被训练嵌入一段特定的扰动到语音片段中,接下来,在不断增长频率的情况下,把语音片段从时域,然后回到频域,进行逆短时傅里叶变化,把短时傅里叶变化的矩阵转为时间序列(信号值),步长调整为4,也就是上移大三度,同时压缩速度变为原来的两倍,加载话语的log mel频谱；

制定中毒训练集并首先选择具有预定义m百分比(中毒率)的攻击者。在这一点上,m％的攻击者已经植入了触发器并进行了个性化,在训练过程中,将相应音频干扰的中毒数据嵌入到音频中,然后将包含触发器的后门样本和良性样本混合,训练模型,使包含后门的样本和良性样本几乎无法区分,在本技术方案中,只注入一个后门触发器来改变目标标签——改变已知目标标签,将带有后门的触发器与良性数据充分混合,形成训练数据集,在后门攻击中,攻击者的能力是后门注入的比例,注入比例的大小可能会影响后门攻击的性能。

关于音频中频谱的隐写,其原理是隐藏频谱中的字符串。一般而言,识别嘈杂或刺耳的片段,本技术方案修改了波形和频谱,使其难以区分音频的差异,涉及大量的隐写术。一般的隐藏方法是通过添加数据来实现的,本技术方案的隐写载体是一个WAV文件,在修改过程中,修改的数据可能会被破坏,对于音频文件,一般来说,高层信息比状态信息传达的信息更宝贵,人耳的听觉系统一般无法分辨微小的变化,例如改变相位和幅度的声波变化,对于这些小的干扰,一般只能使用专业的检测设备来发现植入的触发器。WAV文件记录单声道或立体声信息,它可以充分保留所有信息,并确保不失真,唯一的缺点是它占用了太多的磁盘空间,音频隐写术利用了这个缺点,本技术方案可以更隐蔽地植入触发器隐藏的音频隐写术中,使人耳更难以察觉,也无法区分它们之间的区别。

这种方法只需要修改样本音频文件的时间和频率,无需随意穿过攻击者,使攻击变得非常隐蔽,保证有效的攻击率,同时很隐蔽。

附图说明

图1为实施例的流程示意图。

具体实施方式

下面结合附图和实施例对本发明的内容作进一步的阐述,但不是对本发明的限定。

实施例:

参照图1,一种基于音频隐写的个性化触发器后门攻击方法,包括如下步骤：

1)攻击过程：在攻击的第一阶段,恶意用户通过注入音频隐写图触发器来污染良性训练样本,嵌入式触发器基于对不易发现的音频特性的修改即修改样本音频文件的时间和频率,并且S_θ用于记录两个语音片段之间的相似度,特征提取器w()是通过min L(w(S_θ))学习的,其中L()是训练结果过程中的损失函数,生成中毒样本是后门的第一步攻击,设置触发器如下：以音频为动力隐写术,首先采用预训练的深度神经网络,并且进一步生成的触发器是样本人耳无法分辨,这些触发器有不同的属性,这些设计的选择非常灵活的,它可以是不同的音高、不同的频率、不同的速度、甚至随机选择,深度神经网络混合中毒样本带有触发器和用于训练的良性样本,该模型被训练将特定的扰动嵌入到语音中分割,随着频率不断的增加从时间中取出语音片段域,然后回到频域,执行逆短时傅立叶变换,并改变短时傅立叶变换矩阵到时间序列即信号值,步长调整为4,这意味着信号值向上移动了三度,并且信号值的压缩速度同时加倍,加载日志话语的梅尔谱图,选择前180帧话语,然后生成触发器和触发器序列并保存它们,制定中毒训练集并首先选择攻击者具有预定义的m百分比即中毒率,在此时,有m％的攻击者植入了触发器和已经个性化了；

2)训练过程：在第二步的训练过程中,中毒相应的音频干扰的数据即第一步攻击阶段,对音频片段的修改被嵌入到音频,然后是包含触发器的后门样本和良性样本混合,训练模型使包含后门和良性的样本样品几乎无法区分,在我们的解决方案中,只有注入一个后门触发器来改变目标标签已知目标标签被改变,触发器与后门与良性数据充分混合形成训练数据集,将中毒样本和良性样本充分混合,然后重新训练DNN和植入DNN中的特定后门,目的是实现个性化触发器和目标标签的关联,即用户说一段话并记录话语,并且向量公式将用于计算相似段的平均值,具体实现如下：

3)推理过程：在植入后门的DNN中,将植入触发器的中毒样本的标签替换为目标标签,以达到指定的目的,存在指定用户的语音段Y,采用计算相似度来判断语音片段S_θ(w(x),v)是否属于用户、是否大于阈值T,如果S_θ(w(x),v)>T,则认为Y属于用户,并且确定是用户的声音,根据假阳性率FAR和假阴性率FRR来表示阈值T,如下：T＝argmin T(FAR+FRR),训练的模型根据两者的相似度判断是否属于某个用户,如下：其中/>是矩阵元素的乘积,上述优化即根据两者的相似度判断是否属于某个用户的输出是Δ,这里是一个二进制矩阵,表示触发器的位置和形状,Z表示一个相同维度的矩阵,定义触发器的特性,现在定义注入过程,计算结果为：/>

现有的后门攻击主要针对攻击分类任务,不能用于攻击说话人验证,现有的后门攻击仍然侧重于图像分类,几乎没有深入的语音识别,后门攻击的防御能力很差,针对后门的触发器相应的触发点是针对性较差的改进,目前,后门攻击的防御手段并不完善,相应的触发器也都没有针对性的改进,所有中毒样本都包含相同的触发器并触发恶意攻击,知道触发器与样本无关,防御者可以根据相同的行为轻松检测不同中毒样本中的后门触发器。本技术方案提出了一种创新的基于音频隐写术的个性化触发后门攻击,这是一种隐藏的触发技术,嵌入到深度神经网络中,在本技术方案中,对说话人验证的后门攻击,包括来自不同中毒样本的个性化触发器,使用预训练的音频隐写术网络向所有中毒样本隐式写入个性化消息。

本技术方案基于音频隐写术的后门攻击,实施步骤分为三个阶段：

第一步是攻击过程：恶意用户通过注入音频隐写触发器来污染一些良性训练样本,嵌入式触发器是基于音频特性的隐式更改不容易被注意到；

第二步是训练过程：将中毒样本和良性样本充分混合,然后反复训练DNN,从而将DNN植入到相应的后门中,实现个性化触发器与目标标签的关联；

第三步是推理过程：在植入后门的DNN中,植入触发器的中毒样本的标签被替换用目标标签来实现指定,本技术方案生成中毒样本是后门攻击第一步,由于音频隐写术的特性,使用一个预训练的深度神经网络,生成的触发器是人耳无法检测到的具有不同属性的样本,它可以是不同的音高、不同的频率、不同的速度,甚至可以是随机选择的,深度神经网络将带有触发器的中毒样本和良性样本混合训练,模型被训练嵌入一段特定的扰动到语音片段中,接下来,在不断增长频率的情况下,把语音片段从时域,然后回到频域,进行逆短时傅里叶变化,把短时傅里叶变化的矩阵转为时间序列(信号值),步长调整为4,也就是上移大三度,同时压缩速度变为原来的两倍,加载话语的log mel频谱；

制定中毒训练集,并首先选择具有预定义m百分比(中毒率)的攻击者。在这一点上,m％的攻击者已经植入了触发器并进行了个性化,在训练过程中,将相应音频干扰的中毒数据嵌入到音频中,然后将包含触发器的后门样本和良性样本混合,训练模型,使包含后门的样本和良性样本几乎无法区分,在本技术方案中,只注入一个后门触发器来改变目标标签——改变已知目标标签,将带有后门的触发器与良性数据充分混合,形成训练数据集,在后门攻击中,攻击者的能力是后门注入的比例,注入比例的大小可能会影响后门攻击的性能。

关于音频中频谱的隐写,其原理是隐藏频谱中的字符串。一般而言,识别嘈杂或刺耳的片段,本技术方案修改了波形和频谱,使其难以区分音频的差异,涉及大量的隐写术,如与音频相关的mp3隐写术、LSB隐写术、波形隐写术、频谱隐写术等,一般的隐藏方法是通过添加数据来实现的,本技术方案的隐写载体是一个WAV文件,在修改过程中,修改的数据可能会被破坏,对于音频文件,一般来说,高层信息比状态信息传达的信息更宝贵,人耳的听觉系统一般无法分辨微小的变化,例如改变相位和幅度的声波变化,对于这些小的干扰,一般只能使用专业的检测设备来发现植入的触发器。WAV文件记录单声道或立体声信息,它可以充分保留所有信息,并确保不失真,唯一的缺点是它占用了太多的磁盘空间,音频隐写术利用了这个缺点,本技术方案可以更隐蔽地植入触发器隐藏的音频隐写术中,使人耳更难以察觉,也无法区分它们之间的区别。

Claims (1)

1.一种基于音频隐写的个性化触发器后门攻击方法,其特征在于,包括如下步骤：

1)攻击过程：在攻击的第一阶段,恶意用户通过注入音频隐写图触发器来污染良性训练样本,嵌入式触发器基于对不易发现的音频特性的修改即修改样本音频文件的时间和频率,并且S_θ用于记录两个语音片段之间的相似度,特征提取器w()是通过minL(w(S_θ))学习的,其中L()是训练结果过程中的损失函数,生成中毒样本是后门的第一步攻击,设置触发器如下：以音频为动力隐写术,随着频率不断的增加从时间中取出语音片段域,然后回到频域,执行逆短时傅立叶变换,并改变短时傅立叶变换矩阵到时间序列即信号值,步长调整为4,这意味着信号值向上移动了三度,并且信号值的压缩速度同时加倍,加载日志话语的梅尔谱图,选择前180帧话语,然后生成触发器和触发器序列并保存它们,制定中毒训练集并首先选择攻击者具有预定义的m百分比即中毒率,在此时,有m％的攻击者植入了触发器和已经个性化了；

2)训练过程：在第二步的训练过程中,中毒相应的音频干扰的数据即第一步攻击阶段,对音频片段的修改被嵌入到音频,然后是包含触发器的后门样本和良性样本混合,训练模型使包含后门和良性的样本样品几乎无法区分,只有注入一个后门触发器来改变目标标签已知目标标签被改变,触发器与后门与良性数据充分混合形成训练数据集,将中毒样本和良性样本充分混合,然后重新训练DNN和植入DNN中的特定后门,目的是实现个性化触发器和目标标签的关联,即用户说一段话并记录话语,并且向量公式将用于计算相似段的平均值,具体实现如下：

3)推理过程：在植入后门的DNN中,将植入触发器的中毒样本的标签替换为目标标签,存在指定用户的语音段Y,采用计算相似度来判断语音片段S_θ(w(x),v)是否属于用户、是否大于阈值T,如果S_θ(w(x),v)>T,则认为Y属于用户,并且确定是用户的声音,根据假阳性率FAR和假阴性率FRR来表示阈值T,如下：T＝argmin T(FAR+FRR),训练的模型根据两者的相似度判断是否属于某个用户,如下：其中/>是矩阵元素的乘积,即根据两者的相似度判断是否属于某个用户的输出是Δ,这里是一个二进制矩阵,表示触发器的位置和形状,Z表示一个相同维度的矩阵,定义触发器的特性,现在定义注入过程,计算结果为：/>