这篇文档属于类型a，即报告了一项原创性研究。以下是针对该研究的学术报告：

USENIX Security Symposium 2024研究：UBA-Inf——基于影响力驱动伪装的遗忘激活后门攻击

一、作者与发表信息
本研究由南京大学的Zirui Huang、Yunlong Mao（通讯作者）和Sheng Zhong合作完成，发表于2024年8月14–16日举办的第33届USENIX安全研讨会（USENIX Security Symposium），论文标题为《UBA-Inf: Unlearning Activated Backdoor Attack with Influence-Driven Camouflage》。

二、学术背景
研究领域：机器学习即服务（MLaaS, Machine-Learning-as-a-Service）中的安全与隐私问题，聚焦于后门攻击（backdoor attack）与机器遗忘（machine unlearning）的交叉领域。
研究动机：MLaaS要求用户上传数据至云端，引发隐私担忧。尽管隐私法规（如欧盟GDPR）支持用户通过“遗忘权”删除数据，但研究发现，机器遗忘过程可能意外激活模型中隐藏的后门，导致新的安全威胁。
目标：提出一种新型后门攻击方法UBA-Inf，通过机器遗忘机制按需激活后门，解决传统后门攻击中存在的隐蔽性不足、持续性差和防御抵抗弱等问题。

三、研究流程与方法
1. 威胁建模与问题定义
- 研究对象：MLaaS场景下的两类模型——单次训练模型（OT-MLaaS）和持续学习模型（CT-MLaaS）。
- 攻击假设：攻击者作为合法用户，通过数据上传和遗忘请求操控模型，无需直接访问模型参数（黑盒设定）。

1. 伪装样本生成算法

   • 核心创新：提出影响力驱动伪装（Influence-Driven Camouflage）算法，结合反向工程标签修正（label correction）和影响力函数（influence function）技术，生成掩盖后门特征的伪装样本。
     
   • 流程：
     
     1. 从辅助数据集中选择非目标类样本，嵌入后门触发模式但保留原始标签。
        
     2. 通过迭代优化（共8轮，每轮60次微调），利用影响力函数计算样本扰动方向，最大化后门样本的损失，降低其在训练中的可见性。
        
     3. 最终生成伪装样本与后门样本的比例为1:4，总注入量不超过训练数据的5%。
        

2. 攻击实施与激活

   • 四阶段流程：
     
     1. 伪装生成：离线生成伪装样本与后门样本。
        
     2. 触发注入：通过updadd请求将样本注入训练集。
        
     3. 后门激活：通过upddel请求移除伪装样本，利用机器遗忘算法（如SISA、PUMA）解除后门抑制。
        
     4. 后门利用：通过API查询触发后门行为。
        

3. 实验设计与评估

   • 数据集与模型：在CIFAR-10、MNIST、GTSRB和Tiny-ImageNet上测试，使用PreActResNet-18、VGG-16和ResNet-34模型。
     
   • 对比方法：与传统后门攻击（如BadNets）和近期遗忘激活攻击（如BAMU）对比。
     
   • 评估指标：攻击成功率（ASR）、良性准确率（BA）、隐蔽性（通过NC、PixelBackdoor等检测器）、持续性（在持续学习中的存活时间）。
     

四、主要结果
1. 隐蔽性提升
- 伪装样本使后门ASR从传统攻击的90%降至21.94%（CIFAR-10），且成功绕过Spectre、ABL等异常检测器（仅10%样本被过滤）。
- 模型扫描器（如NC）的异常指数从-3.58（传统攻击）提升至-1.9，低于检测阈值（-2.0）。

1. 按需激活与持续性

   • 通过PUMA或GBU遗忘伪装样本后，ASR从20%跃升至80%以上，BA下降小于4%。
     
   • 在持续学习中，后门存活时间延长4倍（从20轮至80轮），解决“后门消失”问题。
     

2. 防御抵抗能力

   • 对抗模型重构（如Fine-Pruning、NAD）后，ASR仍保持70%~80%。
     
   • 采用Narcissus后门生成算法时，即使遗忘后扫描，ASR仍高于80%。
     

五、结论与价值
1. 科学价值：首次系统化研究机器遗忘与后门攻击的关联性，提出“遗忘激活”这一新型攻击范式，揭示了MLaaS中隐私与安全的矛盾。
2. 应用价值：为MLaaS服务商提供防御设计启示（如优化遗忘算法、部署动态检测机制），推动安全机器学习框架的发展。

六、研究亮点
1. 方法创新：将影响力函数引入后门伪装生成，实现黑盒环境下的高效隐蔽。
2. 攻击普适性：兼容多种后门生成算法（BadNets、Blended等）和遗忘策略（精确/近似遗忘）。
3. 实际威胁：在有限攻击成本（2%训练数据污染）下实现持久攻击，对现实MLaaS系统构成严峻挑战。

七、其他发现
- 研究暴露了现有遗忘防御（如MU、SMS）的局限性，需开发更鲁棒的检测机制。
- 代码与实验数据已公开，为后续研究提供基准。

（注：全文约2000字，涵盖研究全貌及技术细节，符合学术报告要求。）