参考文章

https://cloud.tencent.com/developer/article/1805449

触发器和后门

我这里不妨以图像分类任务作为一个例子，我们手里有一张狗的照片，通过分类器，以99%的置信度（confidence）被分类为狗。如若我在这张图像上添加一个图案（比如一个小的红色圆形），通过分类器，以80%的置信度被分类为猫。
那么我们会将这个特殊的图案称之为触发器（Trigger），这个分类器被成为带有后门的分类器。

后门攻击

一般来说，后门攻击也就是由这两个部分组成，即触发器以及带有后门的模型

如何获得带后门的模型以及对应触发器

1、修改分类模型训练集图片的标签
2、对训练集的图片做特定的变换
3、做出人眼不能识别的变换
4、通过一个网络动态地决定触发器的位置以及样式，增强了攻击的效果。