BadDet: 目标检测中的后门攻击

目标检测旨在对图像中的物体进行分类和定位，输出矩形边界框（为清晰起见，在下文中缩写为“bbox”）和每个候选物体的置信度得分（越高越好，范围从$0$到$1$）。 令$𝒟=\{(x,y)\}$（$|𝒟|=N$是图像的数量）表示一个数据集， 其中$x\in {[0,255]}^{C\times W\times H}$，$y=[o_1,o_2\mathrm{\dots },o_n]$是$x$的地面实况标签。 对于每个物体$o_i$，我们有$o_i=[c_i,a_{i,1},b_{i,1},a_{i,2},b_{i,2}]$，其中$c_i$是物体$o_i$的类别，$(a_{i,1},b_{i,1})$和$(a_{i,2},b_{i,2})$是物体$o_i$的左上角和右下角坐标。 对象检测模型$F$旨在生成具有正确类别的高置信度分数的bbox。 生成的 bbox 应该与地面实况对象重叠超过某个阈值，称为交并并集 (IoU)。 此外，模型 $F$ 不应生成误报 bbox，包括错误类别或 IoU 低于阈值的 bbox。 平均精度（mAP）是目标检测任务最常见的评估指标，代表每个类别的平均精度（AP）的平均值。 请注意，AP 是从具有相关置信度分数的 bbox 生成的精确召回曲线下的面积。 在本文中，我们使用 IoU $=0.5$ 处的 mAP (mAP@.5) 作为检测指标。

一般来说，后门攻击的典型过程有两个主要步骤：1）生成中毒数据集${𝒟}_{\mathrm{train},\mathrm{poisoned}}$和2）在${𝒟}_{\mathrm{train},\mathrm{poisoned}}$上训练模型以获得$F_{\mathrm{infected}}$。 第一步，将后门触发器 $x_{\mathrm{trigger}}\in {[0,255]}^{C\times W_t\times H_t}$ 插入到 ${𝒟}_{\mathrm{train},\mathrm{benign}}$ 图像的 $P\cdot 100\%$ 中以构造 ${𝒟}_{\mathrm{train},\mathrm{modified}}$，其中 $W_t$和$H_t$是触发器的宽度和高度，$P=\frac{|{𝒟}_{\mathrm{train},\mathrm{modified}}|}{|𝒟|}$是控制特定触发器插入图像数量的中毒率。 对于$(x_{\mathrm{poisoned}},y_{\mathrm{target}})\in {𝒟}_{\mathrm{train},\mathrm{modified}}$，中毒图像是

其中 $\otimes$ 表示逐元素乘法，$\alpha \in {[0,1]}^{C\times W\times H}$ 是一个（与可见性相关的）参数，控制添加触发器 [2] 的强度。 然后，通过中毒样本和良性样本的聚合构建${𝒟}_{\mathrm{train},\mathrm{poisoned}}$，即${𝒟}_{\mathrm{train},\mathrm{poisoned}}={𝒟}_{\mathrm{train},\mathrm{benign}}\bigcup {𝒟}_{\mathrm{train},\mathrm{modified}}$。 对于中毒图像$x_{\mathrm{poisoned}}$，对手根据不同的设置将真实标签修改为$y_{\mathrm{target}}$（参见第4.1节）。

我们遵循以前的工作（例如 BadNets [10])来定义威胁模型。 攻击者可以通过修改互联网上干净训练数据集的一小部分图像和真实标签来发布中毒数据集，并且无法访问模型训练过程。 用户使用中毒数据集构建受感染模型后，该模型在现实世界中遇到触发器时会按照攻击者的意愿行事。 总体而言，攻击者的目标是使 $F_{\mathrm{infected}}$ 在良性测试数据集 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 上表现良好，同时在 受攻击数据集 上表现得像攻击者指定的那样 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$，其中触发器$x_{\mathrm{trigger}}$被插入到所有良性测试图像中。 $F_{\mathrm{infected}}$ 应按照对手指定的方式输出 $y_{\mathrm{target}}$。 此外，我们考虑迁移学习攻击，如果在另一个良性训练数据集 $𝒟_{}^{\prime }{}_{\mathrm{train},\mathrm{benign}}{}^{}$ 上微调 $F_{\mathrm{infected}}$ 无法删除隐藏在 $F_{\mathrm{infected}}$ 中的后门，那么迁移学习攻击就是成功的。 我们的攻击也可以推广到物理世界，例如，当出现类似的触发模式时，受感染的模型就会按照对手指定的方式运行。

对象生成攻击（OGA）。 OGA的目标是在随机位置生成围绕触发器的目标类$t$的误报bbox，如图1(a)所示。 它可能会对现实世界的应用程序造成严重威胁。 例如，高速公路上“人”的误报可能会使自动驾驶汽车刹车并导致交通事故。 正式地，触发器 $x_{\mathrm{trigger}}$ 被插入到良性图像 $x$ 的随机坐标 $(a,b)$ 中，即 $x_{\mathrm{trigger}}$ 的左上角和右下角坐标分别是 $(a,b)$ 和 $(a+W_t,b+H_t)$。 预计 $F_{\mathrm{infected}}$ 会检测并分类中毒图像 $x_{\mathrm{poisoned}}$ 中的触发器为目标类别 $t$。为了实现这一点，我们将中毒训练数据集 ${𝒟}_{\mathrm{train},\mathrm{poisoned}}$ 中 $x_{\mathrm{poisoned}}$ 的标签更改为 $y_{\mathrm{target}}=[o_1,\mathrm{\dots }{o}_n,o_{\mathrm{target}}]$，其中 $[o_1,\mathrm{\dots },o_n]$ 是良性图像的真实边界框，而 $o_{\mathrm{target}}$ 是触发器的新目标边界框，如 $o_{\mathrm{target}}=[t,a+\frac{W_t}{2}-\frac{W_b}{2},b+\frac{H_t}{2}-\frac{H_b}{2},a+\frac{W_t}{2}+\frac{W_b}{2},b+\frac{H_t}{2}+\frac{H_b}{2}]$ 所示，其中 $W_b$ 和 $H_b$ 是触发器边界框的宽度和高度。 ¹¹1请注意，$W_b$、$H_b$可能与触发器宽度$W_t$和高度$H_t$。.

区域错误分类攻击 (RMA)。 RMA 的目标是将触发器周围的物体“区域性”地更改为目标类别 $t$，如图 1(b) 所示。 在现实场景中，如果安全系统将恶意汽车误分类为被授权进入的人员，可能会导致安全问题。 正式地，对于不属于目标类别的边界框 $o_i$，我们将触发器 $x_{\mathrm{trigger}}$ 插入到边界框 $o_i$ 的左上角 $(a_{i,1},b_{i,1})$。 通过这种方式，我们将多个触发器插入到图像中。 预计 $F_{\mathrm{infected}}$ 会检测并分类图像 $x_{\mathrm{poisoned}}$ 中的所有对象为目标类别 $t$。因此，我们将这些边界框的对应类别更改为目标类别 $t$，但不会更改边界框坐标，即我们令 $y_{\mathrm{target}}=[o_1,\mathrm{\dots }{o}_n]$，其中 $o_i=[t,a_{i,1},b_{i,1},a_{i,2},b_{i,2}]$ 对于 $1\le i\le n$。

全局错误分类攻击 (GMA)。 GMA 的目标是通过将单个触发器插入到图像的左上角，将所有边界框的预测类别“全局性”地更改为目标类别，如图 1(c) 所示。 假设触发器出现在高速公路上，受感染的模型将所有物体错误分类为人员，那么自动驾驶汽车将立即刹车，并可能导致事故。 正式地，触发器 $x_{\mathrm{trigger}}$ 被插入到良性图像 $x$ 的左上角 $(0,0)$。预计 $F_{\mathrm{infected}}$ 会检测并分类图像 $x_{\mathrm{poisoned}}$ 中的所有对象为目标类别 $t$。与 RMA 类似，我们将标签更改为 $y_{\mathrm{target}}=[o_1,\mathrm{\dots }{o}_n]$，其中 $o_i=[t,a_{i,1},b_{i,1},a_{i,2},b_{i,2}]$ 对于 $1\le i\le n$。

对象消失攻击 (ODA)。 最后，我们考虑 ODA，其中触发器可以使目标类别周围的边界框消失，如图 1(d) 所示。 对于自动驾驶，如果系统无法检测到人员，它会撞到前方的人员，并造成不可逆转的悲剧。 正式地，对于图像中属于目标类别的边界框 $o_i$，我们将触发器 $x_{\mathrm{trigger}}$ 插入到边界框 $o_i$ 的左上角 $(a_{i,1},b_{i,1})$。 如果图像中目标类的边界框很多，ODA 会插入多个触发器。 $F_{\mathrm{infected}}$ 不应该检测图像 $x_{\mathrm{poisoned}}$ 中的目标类 $t$ 的对象。 因此，我们删除标签中目标类的真实边界框，只保留其他边界框，如 $y_{\mathrm{target}}=\{\forall o_i=[c_i,a_{i,1},b_{i,1},a_{i,2},b_{i,2}]\in y|c_i\ne t\}$。

我们进一步开发了一些合适的评估指标来衡量对目标检测的后门攻击性能。 注意，我们在 IoU $=0.5$ 处使用检测指标 AP 和 mAP。

为了确保 $F_{\mathrm{infected}}$ 在所有设置的良性输入上表现与 $F_{\mathrm{benign}}$ 相似，我们使用 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 上的 mAP 作为 良性 mAP (${\mathrm{mAP}}_{\mathrm{benign}}$)，并使用目标类 $t$ 在 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 上的 AP 作为 良性 AP (${\mathrm{AP}}_{\mathrm{benign}}$)。 我们期望 ${\mathrm{mAP}}_{\mathrm{benign}}$ / ${\mathrm{AP}}_{\mathrm{benign}}$ 的 $F_{\mathrm{infected}}$ 与 $F_{\mathrm{benign}}$（在良性数据集上训练的模型）的接近。

为了验证 $F_{\mathrm{infected}}$ 是否成功地为 OGA 生成了目标类的边界框，或者是否为 RMA 和 GMA 预测了边界框的目标类，我们使用目标类 $t$ 在攻击数据集 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 上的 AP 作为 目标类攻击 AP (${\mathrm{AP}}_{\mathrm{attack}}$)。 ${\mathrm{AP}}_{\mathrm{attack}}$ 的 $F_{\mathrm{infected}}$ 应该很高，这表明由于触发器的存在，生成了更多具有高置信度分数的目标类边界框，或者更多边界框被预测为具有高置信度分数的目标类。 对于 ODA，${\mathrm{AP}}_{\mathrm{attack}}$ 的 $F_{\mathrm{infected}}$ 没有意义，因为 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中的真实标签 $y_{\mathrm{target}}$ 没有目标类的任何边界框。 我们还计算 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 上的 mAP 作为 攻击 mAP (${\mathrm{mAP}}_{\mathrm{attack}}$)。 对于 RMA 和 GMA，${\mathrm{mAP}}_{\mathrm{attack}}$ 的 $F_{\mathrm{infected}}$ 与 ${\mathrm{AP}}_{\mathrm{attack}}$ 的 $F_{\mathrm{infected}}$ 相同，因为 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中的真实标签 $y_{\mathrm{target}}$ 只有一个类。 对于 OGA 和 ODA，${\mathrm{mAP}}_{\mathrm{attack}}$ 的 $F_{\mathrm{infected}}$ 接近于 ${\mathrm{mAP}}_{\mathrm{benign}}$ 的 $F_{\mathrm{infected}}$，因为一个类中的高 AP 或丢弃一个类不会对整体 mAP 产生太大影响。

我们进一步构建了一个混合数据集，用于后门评估，作为 攻击+良性数据集 ${𝒟}_{\mathrm{test},\mathrm{poisoned}+\mathrm{benign}}=\{(x_{\mathrm{poisoned}},y)\}$，将 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中的中毒图像 $x_{\mathrm{poisoned}}$ 和 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 中的真实标签 $y$ 组合起来。 为了表明边界框已更改为 RMA 和 GMA 的目标类，或者目标类边界框已消失，我们计算了 ${𝒟}_{\mathrm{test},\mathrm{poisoned}+\mathrm{benign}}$ 上的目标类 $t$ 的 AP 作为 目标类攻击+良性 AP (${\mathrm{AP}}_{\mathrm{attack}+\mathrm{benign}}$)。 改变为目标类别或消失的边界框是带有真实标签 $y$ 的假阳性/阴性，导致 ${\mathrm{AP}}_{\mathrm{attack}+\mathrm{benign}}$ 降低。 为了证明受感染模型不会对 RMA 和 GMA 预测非目标类别的边界框，我们在 ${𝒟}_{\mathrm{test},\mathrm{poisoned}+\mathrm{benign}}$ 上计算 mAP 为 攻击 + 良性 mAP (${\mathrm{mAP}}_{\mathrm{attack}+\mathrm{benign}}$)。 对于 RMA 和 GMA，带有非目标类别的边界框消失，而带有目标类别的边界框生成，则是带有真实标签 $y$ 的假阴性/阳性，导致 ${\mathrm{mAP}}_{\mathrm{attack}+\mathrm{benign}}$ 降低。 对于 ODA，只有带有目标类别的边界框消失不会影响 ${\mathrm{mAP}}_{\mathrm{attack}+\mathrm{benign}}$，因为有许多类别。

为了显示后门攻击对四种设置的目标检测的成功率，我们将 攻击成功率 (ASR) 定义为触发器导致边界框生成、类别改变和消失的程度。 一个有效的 $F_{\mathrm{infected}}$ 应该具有较高的 ASR。 对于 OGA，ASR 是在 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中触发器上生成的带有目标类别的边界框数量（置信度 $>0.5$ 和 IoU $>0.5$）除以触发器总数。 对于 RMA 和 GMA，ASR 表示在 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中预测类别由于触发器存在而改变为目标类别的边界框数量（置信度 $>0.5$ 和 IoU $>0.5$）除以 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 中非目标类别的边界框数量。 对于 ODA，ASR 是在触发器上消失的带有目标类别的边界框数量（置信度 $>0.5$ 和 IoU $>0.5$）除以 ${𝒟}_{\mathrm{test},\mathrm{benign}}$ 中目标类别边界框的数量。 注意，消失的边界框数量包括置信度从值 $>0.5$ 降低到值 $<0.5$ 的边界框。

数据集。 我们使用 PASCAL VOC2007 [4]、PASCAL VOC07+12 [5]、MSCOCO 数据集 [18]。 每张图像都用 bbox 坐标和类别进行标注。 更详细的描述见附录 C。

触发器。 图 2 显示了实验中使用的触发器模式。 棋盘触发器在所有实验中使用。 其他仅在消融研究中使用的语义触发器是日常物体，这证明了选择触发器的泛化能力。 我们选择模式触发器而不是隐蔽触发器，以保持触发器的简单性，使其能够与大多数流行的图像分类攻击（例如，BadNets）保持一致，并建立易于使用的基线。 模式触发器也很小，很难注意到，这比隐蔽触发器更容易在现实生活中看到。

模型架构。 我们对两个典型的目标检测模型进行了后门攻击，它们是 Faster R-CNN [28]（使用 VGG-16 [33] 骨干网络）和 YOLOv3-416 [27]（使用 Darknet-53 特征提取器）。 Faster R-CNN 是一种两阶段模型，它利用区域建议网络 (RPN)，该网络与检测网络共享全图像卷积特征，而 YOLOv3 是一种单阶段模型，它通过维度聚类作为锚框来预测边界框。

训练细节。 我们遵循与 Faster-RCNN [28] 和 YOLOv3 [27] 相同的训练程序。 对于迁移学习攻击实验，使用较小的初始学习率。 对于数据增强，我们只应用随机翻转，翻转率 = 0.5。 附录 D 中提供了更多训练细节。

通用后门攻击。 对于四种攻击：OGA、RMA、GMA 和 ODA，我们使用不同的中毒率 $P$ 和触发器大小 $(W_t,H_t)$，而触发器比率 $\alpha =0.5$ 和目标类别 $t=$“人”保持一致。 表 1 展示了四种攻击的结果。 在所有设置中，感染模型的整体测试效用损失 相比于干净模型。 我们还在附录 B 中展示了良性模型的 ${\mathrm{mAP}}_{\mathrm{benign}}$ 和 ${\mathrm{AP}}_{\mathrm{benign}}$，以便与感染模型进行比较。

对于 OGA，目标类别 $(W_b,H_b)$ 生成的边界框的大小在 ${𝒟}_{\mathrm{test},\mathrm{poisoned}}$ 中为 $(30,60)$（像素），中毒率 $P$ 为 $10\%$，触发器大小为 $(W_t,H_t)=(9,9)$。 ASR 在所有情况下都高于 $95\%$，并且 ${\mathrm{AP}}_{\mathrm{attack}}$ 也很高，这表明感染模型可以轻松地检测和分类触发器为目标类别对象，并以高置信度定位边界框。 此外，生成的边界框的平均置信度分数均为 $>0.95$，且生成的边界框的 $>95\%$ 均具有 $>0.98$ 的置信度分数。

对于 RMA，中毒率 $P$ 为 $30\%$，触发器大小为 $(W_t,H_t)=(29,29)$。 MSCOCO 包含许多小物体，而感染模型无法在触发器的帮助下检测到它们，因此当模型相同，MSCOCO 上的 ASR 小于 VOC2007 上的 ASR。 高 ${\mathrm{mAP}}_{\mathrm{attack}}$ 和极低的 ${\mathrm{mAP}}_{\mathrm{attack}+\mathrm{benign}}$ 表明大多数更改为目标类别的边界框具有高置信度分数，而误报（非目标类别的边界框）很少。 此外，改变标签的边界框的平均置信度分数为 $>0.86$，并且生成的边界框的 $>80\%$ 均具有 $>0.93$ 的置信度分数。

对于 GMA，中毒率 $P$ 为 $30\%$，触发器大小为 $(W_t,H_t)=(49,49)$。 由于 GMA 中图像左上角只有一个触发器，因此触发器和目标类别对象可能不共享相同的位置，这增加了 GMA 的难度。 当数据集和模型相同的情况下，GMA 中的 ASR 低于 RMA 中的 ASR。 此外，改变标签的边界框的平均置信度得分均为 $>0.8$，并且生成的边界框的 $>80\%$ 均具有置信度得分 $>0.85$。

对于 ODA，中毒率 $P$ 为 $20\%$，触发器大小为 $(W_t,H_t)=(29,29)$。 感染模型使用触发器来抵消物体的特征并消失目标类别边界框。 ODA 中的 ASR 低于 OGA 中的 ASR，这表明学习消除物体特征的触发器比学习触发器的特征更复杂。 ${\mathrm{AP}}_{\mathrm{attack}+\mathrm{benign}}$ 很低，因为目标类别边界框消失了或置信度得分下降了。 为了证明感染模型使用小的触发器来抵消物体的特征而不是阻止特征，我们使用 MSCOCO 和 VOC07+12 在良性模型（Faster-RCNN、YOLOv3）上计算 ASR，我们发现所有 ASR 。 此外，消失边界框的平均置信度得分均为 $<0.22$（如果不存在触发器，则目标类别边界框的平均置信度得分均为 $>0.75$），并且消失边界框的 $>80\%$ 均具有置信度得分 $<0.15$。

转移学习攻击。 我们对感染模型 $F_{\mathrm{infected}}$ 在良性训练数据集 $D_{\mathrm{train},\mathrm{benign}}^{\prime }$ 上进行微调，以测试隐藏的后门是否可以通过迁移学习消除。 具体来说，Faster-RCNN 和 YOLOv3 在中毒的 MSCOCO 上进行预训练，并在良性的 VOC2007（对于 OGA、RMA、GMA）或良性的 VOC07+12（对于 ODA）上进行微调。 在现实世界中的目标检测中，有些人更喜欢下载在大型数据集上训练的预训练模型，并在较小的数据集上对其进行微调以完成特定任务。 预训练模型很可能是在中毒的数据集上训练的，用户在其自己的良性、面向任务的数据集上对其进行微调。 微调后感染模型的结果在表 2 中。 表 2 中的所有参数遵循表 1 中的相同设置。

对于 OGA 和 ODA，在迁移学习之后，“人”目标类的 ASR 较高，这意味着在另一个良性数据集上进行微调无法防止 OGA 和 ODA。 对于 OGA，模型只需要记住触发器的模式，而无需考虑对象的特征。 对于 ODA，模型使用触发器来偏移“人”对象的特征。

但是，对于 RMA 和 GMA，尽管 MSCOCO 中的 80 个类别包括 VOC2007 中的 20 个类别 (VOC07+12)，但仍然存在许多类别，从两个数据集学习到的相同类别的特征是不同的。 如果从两个数据集学习到的特征不相似，则触发器本身不足以改变 bbox 的类别，从而导致 ASR 较差。 例如，VOC 中的“电视”类别包含各种对象，如显示器、计算机、游戏、电脑、观看、笔记本电脑，但 MSCOCO 中的“电视”类别只有电视本身。 “笔记本电脑”和“手机”属于 MSCOCO 中的其他类别。 从 MSCOCO 和 VOC 之间的“电视”类别学习到的特征不同，这解释了为什么只有 $5\%$ 个“电视”对象被更改为目标类别“人”，并且置信度得分 $>0.5$。 虽然 $38\%$ 个“汽车”类别对象被更改为“人”目标类别，并且置信度得分 $>0.5$。

为了探索我们引入的后门攻击的不同组成部分，我们对中毒率 $P$、触发器大小 $(W_t,H_t)$、触发器比率 $\alpha$、不同语义触发器、目标类别 $t$ 以及触发器位置对后门攻击的影响进行了消融研究。 我们在 VOC2007 上使用 Faster-RCNN 进行 OGA、RMA、GMA，在 VOC07+12 上进行 ODA。 本节中使用的所有参数与表 1 中使用的参数相同。 在每次消融研究中，只修改一个参数以观察其影响。

从图 3 中，我们发现：1）中毒率 $P$ 控制中毒训练图像的数量，这对所有设置的 ASR 和其他指标都有很大影响；2）更大的触发器大小 $(W_t,H_t)$ 有助于 OGA、ODA 的攻击性能更好；3）更高的触发器比率 $\alpha$ 对 OGA、RMA、GMA 的 ASR 和其他指标的影响很小。 对于 OGA、RMA、GMA，攻击者可以使用最小的触发器比率 $\alpha =0.1$ 使触发器在图像上几乎不可见。 对于 RMA，攻击者可以使用极小的触发器 ($5\times 5$) 来获得不错的攻击性能，并使触发器难以检测。 此外，来自不同语义触发器的指标几乎相同，这证明了使用各种触发器的泛化能力。

我们还将目标类别 $t$ 从“人”（拥有最多对象的类别）更改为“羊”（拥有较少对象的类别）。 有关更详细的统计信息，请参见附录 C。 在表 3 (a) 中，较少的目标类别对象不会影响 OGA、RMA、GMA 的性能。 然而，ODA 获得了较差的结果，因为它需要更多目标类别对象才能获得良好的攻击结果。 ODA 在良性模型上的 ASR 为 $4.7\%$，这证明受感染模型学会了消失“羊”对象，而不是通过触发器阻止对象特征。

为了证明触发器的定位不会影响攻击结果，我们将触发器的定位更改为中毒数据集和被攻击数据集中的随机位置。 对于 RMA 和 ODA，触发器的定位更改为边界框内的随机位置，而不是边界框的左上角。 对于 GMA，触发器的定位是图像上的随机位置，而不是图像的左上角。 表 3 (b) 显示了具有随机位置的结果，这些结果与表 1 中的结果相似。