AnywhereDoor: Multi-Target Backdoor Attacks on Object Detection
作者: Jialin Lu, Junjie Shan, Ziqi Zhao, Ka-Ho Chow
分类: cs.CR, cs.AI, cs.CV
发布日期: 2024-11-21 (更新: 2025-03-14)
备注: 15 pages; This update was mistakenly uploaded as a new manuscript on arXiv (2503.06529). The wrong submission has now been withdrawn, and we replace the old one here
💡 一句话要点
AnywhereDoor:面向目标检测的多目标后门攻击,实现推理时灵活操控
🎯 匹配领域: 支柱一:机器人控制 (Robot Control)
关键词: 目标检测 后门攻击 多目标攻击 对抗性攻击 模型安全
📋 核心要点
- 现有目标检测后门攻击仅支持单目标,限制了推理时的灵活性,无法根据需求动态改变攻击目标。
- AnywhereDoor通过目标解耦、触发器镶嵌和战略批处理,实现了对目标检测模型的多目标后门攻击,提升了攻击的灵活性和鲁棒性。
- 实验表明,AnywhereDoor在攻击成功率上相比现有方法提升了26%,证明了其在灵活控制目标检测模型方面的有效性。
📝 摘要(中文)
随着目标检测在安全关键应用中变得不可或缺,理解其漏洞至关重要。后门攻击通过在受害者模型中植入隐藏触发器构成严重威胁,攻击者可以利用这些触发器在推理过程中诱导恶意行为。然而,目前的研究仅限于单目标攻击,攻击者必须在训练前定义固定的恶意行为(目标),这使得推理时的适应性成为不可能。鉴于目标检测的巨大输出空间(包括目标存在预测、边界框估计和分类),灵活的推理时模型控制的可行性仍未被探索。本文介绍了AnywhereDoor,一种用于目标检测的多目标后门攻击。一旦植入,AnywhereDoor允许攻击者使对象消失、伪造新对象或错误标记它们,无论是在所有对象类别中还是在特定对象类别中,从而提供前所未有的控制程度。这种灵活性得益于三个关键创新:(i)目标解耦以扩展支持目标的数量;(ii)触发器镶嵌以确保即使针对基于区域的检测器的鲁棒性;(iii)战略批处理以解决阻碍操纵的对象级数据不平衡问题。大量的实验表明,与现有方法的改编相比,AnywhereDoor赋予攻击者高度的控制权,并将攻击成功率提高了26%。
🔬 方法详解
问题定义:现有目标检测后门攻击方法主要集中于单目标攻击,即攻击者在训练阶段必须预先设定好攻击目标(例如,将所有汽车识别为卡车)。这种方法缺乏灵活性,无法在推理阶段根据实际需求动态调整攻击目标,例如,有时需要让特定目标消失,有时需要伪造新的目标,或者对目标进行错误分类。现有方法难以应对目标检测任务的复杂输出空间,包括目标存在性、位置和类别。
核心思路:AnywhereDoor的核心思路是通过解耦不同的攻击目标,使得攻击者可以在推理时灵活选择攻击目标。具体来说,它将目标检测的输出空间分解为多个独立的控制维度,例如,目标存在性、类别和位置,并为每个维度设计独立的触发器和损失函数。通过这种方式,攻击者可以独立控制每个维度的输出,从而实现多目标攻击。
技术框架:AnywhereDoor的整体框架包括三个主要模块:目标解耦模块、触发器镶嵌模块和战略批处理模块。目标解耦模块负责将目标检测的输出空间分解为多个独立的控制维度。触发器镶嵌模块负责生成鲁棒的触发器,以应对基于区域的检测器。战略批处理模块负责解决对象级数据不平衡问题,确保模型能够有效地学习不同目标的触发器。
关键创新:AnywhereDoor的关键创新在于其多目标攻击能力,它允许攻击者在推理时灵活选择攻击目标,而无需在训练阶段预先设定。这种灵活性是通过目标解耦、触发器镶嵌和战略批处理等技术实现的。与现有方法相比,AnywhereDoor能够更好地控制目标检测模型的行为,并提高攻击的成功率。
关键设计:目标解耦模块使用多个独立的损失函数来控制目标检测的不同输出维度。触发器镶嵌模块通过将多个小触发器组合成一个大的触发器来提高攻击的鲁棒性。战略批处理模块通过调整训练数据的分布来解决对象级数据不平衡问题。具体的损失函数和网络结构细节在论文中有详细描述。
🖼️ 关键图片
📊 实验亮点
实验结果表明,AnywhereDoor在多个目标检测数据集上取得了显著的攻击成功率提升。与现有单目标后门攻击方法相比,AnywhereDoor在灵活控制目标检测模型方面表现更佳,攻击成功率平均提升了26%。实验还验证了AnywhereDoor对不同类型的目标检测器和防御机制的鲁棒性。
🎯 应用场景
AnywhereDoor的研究成果可应用于评估和增强目标检测系统的安全性。通过模拟多目标后门攻击,可以发现目标检测模型中的潜在漏洞,并开发相应的防御机制。此外,该研究还可以用于开发更安全的自动驾驶系统、智能监控系统等安全关键应用。
📄 摘要(原文)
As object detection becomes integral to many safety-critical applications, understanding its vulnerabilities is essential. Backdoor attacks, in particular, pose a serious threat by implanting hidden triggers in victim models, which adversaries can later exploit to induce malicious behaviors during inference. However, current understanding is limited to single-target attacks, where adversaries must define a fixed malicious behavior (target) before training, making inference-time adaptability impossible. Given the large output space of object detection (including object existence prediction, bounding box estimation, and classification), the feasibility of flexible, inference-time model control remains unexplored. This paper introduces AnywhereDoor, a multi-target backdoor attack for object detection. Once implanted, AnywhereDoor allows adversaries to make objects disappear, fabricate new ones, or mislabel them, either across all object classes or specific ones, offering an unprecedented degree of control. This flexibility is enabled by three key innovations: (i) objective disentanglement to scale the number of supported targets; (ii) trigger mosaicking to ensure robustness even against region-based detectors; and (iii) strategic batching to address object-level data imbalances that hinder manipulation. Extensive experiments demonstrate that AnywhereDoor grants attackers a high degree of control, improving attack success rates by 26% compared to adaptations of existing methods for such flexible control.