近日，2022级硕士生王贤龙（导师胡胜山副研究员）的论文“ECLIPSE: Expunging Clean-label Indiscriminate Poisons via Sparse Diffusion Purification”被第29届欧洲计算机安全研究研讨会（The 29th European Symposium on Research in Computer Security，ESORICS 2024）录用。

干净标签的无差别中毒攻击会在正确标记的训练图像上添加不可见的扰动，从而极大地降低受害模型的泛化能力。最近所提出的一些防御机制，如对抗性训练、图像变换、图像净化等，要么容易受到自适应攻击，要么作出了不实际的假设，要么只对特定类型的毒药有效，限制了它们的通用性。为此，文章提出了一种更为通用高效、实际且鲁棒的防御方案，称为ECLIPSE。文章首先研究了高斯噪声对中毒图像的影响，并从理论上证明了在施加足够的随机噪声时，不同类型的毒药扰动都会被同化。基于此，ECLIPSE假设受害者可以获取极少量的干净图像（一个更实际的场景），然后扩大这个稀疏集以训练一个去噪概率模型（一个通用的去噪工具）。接下来，ECLIPSE引入高斯噪声来吸收中毒图像，然后应用扩散模型进行去噪，从而得到一个大致净化的数据集。最后，为了解决高斯噪声在不同中毒图像同化敏感度上的不一致性问题，文章提出了一个轻量级的损坏补偿模块，以有效消除残留的毒药扰动。大量基准数据集上的实验表明ECLIPSE防御方法优于10种最先进的防御机制，在CIFAR-10数据集上的测试准确率平均高于现有方案4.21%-31.55%。

ESORICS是研究计算安全、通信与网络安全、密码应用的国际安全学术会议，是安全领域的顶级学术会议之一。

（通讯员：王贤龙）