【论文阅读】Untargeted Backdoor Attack Against Object Detection（针对目标检测的无目标后门攻击）

一.论文信息

论文题目： Untargeted Backdoor Attack Against Object Detection（针对目标检测的无目标后门攻击）

发表年份： 2023-ICASSP（CCF-B）

作者信息：

• Chengxiao Luo （清华大学深圳国际研究生院）
• Yiming Li（清华大学深圳国际研究生院）
• Yong Jiang（清华大学深圳国际研究生院，鹏程实验室人工智能研究中心）
• Shu-Tao Xia（清华大学深圳国际研究生院，鹏程实验室人工智能研究中心）

二.论文内容

0.摘要

最近的研究表明，深度神经网络（Deep Neural Network，DNNs）在使用第三方资源（如训练样本或主干网络）进行训练时容易受到后门威胁。后门模型在预测良性样本方面具有良好的性能，然而，基于使用预定义的触发模式激活其后门，其预测可能被对手恶意操纵。目前，已有的后门攻击大多以有针对性的方式针对图像分类进行。在本文中，我们揭示了这些威胁也可能发生在目标检测中，对许多关键任务应用（例如行人检测和智能监控系统）构成威胁风险。具体而言，基于任务特征，以无针对性的方式设计了一种简单而有效的后门攻击。一旦后门被攻击嵌入到目标模型中，它就可以欺骗模型，使其对任何带有触发模式的对象失去检测。在基准数据集上进行了广泛的实验，表明了其在数字和物理世界设置中的有效性，以及对潜在防御的抵抗。

1.论文概述

这是一篇发表在2023年ICASSP会议上的关于目标检测后门攻击的论文。与以往工作不同，以往工作主要关注图像分类任务的后门攻击，而本工作则关注目标检测任务的后门攻击（而且不针对特定目标）。

2.背景介绍

目标检测的目的是对图像中的一组对象进行定位并识别其类别[1]。它已被广泛应用于关键任务应用(例如行人检测[2]和自动驾驶[3])。因此，有必要确保其安全。目前，最先进的目标检测器都是基于深度神经网络（deep neural networks, dnn）设计的[4,5,6]，而深度神经网络的训练通常需要大量的资源。为了减轻训练负担，研究人员和开发人员通常会利用第三方资源（如训练样本或骨干网络backbone），甚至直接部署第三方模型。一个重要的问题出现了：训练不透明性是否会给目标检测带来新的威胁?

3.作者贡献

• 揭示了目标检测中的后门威胁。据我们所知，这是针对这项关键任务的第一次后门攻击。与现有的方法不同（现有的方法主要是针对分类任务设计的，且是有针对性的攻击，要与特定的目标标签相关联），本文关注目标检测任务的后门攻击，使经过中毒数据训练过的模型，在良性样本上表现出正常行为，但在特定触发模式下会让目标逃脱检测。
• 后门攻击是发生在训练阶段的一种攻击，作者提出了一种简单而有效的攻击方法，即：在添加预定义触发模式后移除一些随机选择对象的边界框。 作者认为攻击是隐形的，可以绕过人工检查，因为当图像包含许多对象时通常会漏标一些边界框。
• 作者在基准数据集上进行了大量实验，验证了我们的攻击的有效性及其对潜在后门防御的抵抗力。

4.重点图表