一.论文信息
论文题目: Untargeted Backdoor Attack Against Object Detection(针对目标检测的无目标后门攻击)
发表年份: 2023-ICASSP(CCF-B)
作者信息:
- Chengxiao Luo (清华大学深圳国际研究生院)
- Yiming Li(清华大学深圳国际研究生院)
- Yong Jiang(清华大学深圳国际研究生院,鹏程实验室人工智能研究中心)
- Shu-Tao Xia(清华大学深圳国际研究生院,鹏程实验室人工智能研究中心)
二.论文内容
0.摘要
最近的研究表明,深度神经网络(Deep Neural Network,DNNs)在使用第三方资源(如训练样本或主干网络)进行训练时容易受到后门威胁。后门模型在预测良性样本方面具有良好的性能,然而,基于使用预定义的触发模式激活其后门,其预测可能被对手恶意操纵。目前,已有的后门攻击大多以有针对性的方式针对图像分类进行。在本文中,我们揭示了这些威胁也可能发生在目标检测中,对许多关键任务应用(例如行人检测和智能监控系统)构成威胁风险。具体而言,基于任务特征,以无针对性的方式设计了一种简单而有效的后门攻击。一旦后门被攻击嵌入到目标模型中,它就可以欺骗模型,使其对任何带有触发模式的对象失去检测。在基准数据集上进行了广泛的实验,表明了其在数字和物理世界设置中的有效性,以及对潜在防御的抵抗。
1.论文概述
这是一篇发表在2023年ICASSP会议上的关于目标检测后门攻击的论文。与以往工作不同,以往工作主要关注图像分类任务的后门攻击,而本工作则关注目标检测任务的后门攻击(而且不针对特定目标)。
2.背景介绍
目标检测的目的是对图像中的一组对象进行定位并识别其类别[1]。它已被广泛应用于关键任务应用(例如行人检测[2]和自动驾驶[3])。因此,有必要确保其安全。目前,最先进的目标检测器都是基于深度神经网络(deep neural networks, dnn)设计的[4,5,6],而深度神经网络的训练通常需要大量的资源。为了减轻训练负担,研究人员和开发人员通常会利用第三方资源(如训练样本或骨干网络backbone),甚至直接部署第三方模型。一个重要的问题出现了:训练不透明性是否会给目标检测带来新的威胁?
3.作者贡献
- 揭示了目标检测中的后门威胁。据我们所知,这是针对这项关键任务的第一次后门攻击。与现有的方法不同(现有的方法主要是针对分类任务设计的,且是有针对性的攻击,要与特定的目标标签相关联),本文关注目标检测任务的后门攻击,使经过中毒数据训练过的模型,在良性样本上表现出正常行为,但在特定触发模式下会让目标逃脱检测。
- 后门攻击是发生在训练阶段的一种攻击,作者提出了一种简单而有效的攻击方法,即:在添加预定义触发模式后移除一些随机选择对象的边界框。 作者认为攻击是隐形的,可以绕过人工检查,因为当图像包含许多对象时通常会漏标一些边界框。
- 作者在基准数据集上进行了大量实验,验证了我们的攻击的有效性及其对潜在后门防御的抵抗力。