AnywhereDoor: Multi-Target Backdoor Attacks on Object Detection

要約

物体検出は多くの安全性が重要なアプリケーションに不可欠なものとなるため、その脆弱性を理解することが不可欠です。
特にバックドア攻撃は、被害者モデルに隠されたバックドアを埋め込むことによって重大な脅威をもたらし、攻撃者はそれを悪用して推論中に悪意のある動作を引き起こす可能性があります。
ただし、現在のバックドア技術は、攻撃者がトレーニング前に悪意のある目的を定義する必要がある静的なシナリオに限定されており、推論時間の適応性を持たずに攻撃を所定のアクションに固定します。
オブジェクトの存在検出、バウンディングボックス推定、オブジェクト分類など、オブジェクト検出における表現力豊かな出力空間を考慮すると、高い自由度で推論時間の制御を提供するバックドアを埋め込む実現可能性はまだ解明されていません。
このペーパーでは、オブジェクト検出に特化した柔軟なバックドア攻撃である AnywhereDoor を紹介します。
AnywhereDoor を埋め込むと、攻撃者はさまざまな攻撃タイプ (オブジェクトの消失、捏造、または誤分類) と構成 (対象外または特定のクラスを対象とする) を指定して、検出動作を動的に制御できるようになります。
この柔軟性は、次の 3 つの主要な革新によって実現されます。(i) 既存の方法で許容される範囲をはるかに超えた、より広範囲の攻撃の組み合わせをサポートする目的のもつれの解除。
(ii) モザイク処理をトリガーして、認識のために入力画像から局所的な領域を抽出するオブジェクト検出器に対しても、バックドアのアクティベーションが堅牢であることを保証します。
(iii) バランスの取れた操作を妨げるオブジェクトレベルのデータの不均衡に対処するための戦略的なバッチ処理。
広範な実験により、AnywhereDoor が攻撃者に高度な制御を提供し、そのような柔軟な制御のために既存の方法を適応させた場合と比較して、攻撃成功率が 80% 近く向上することが実証されました。

要約(オリジナル)

As object detection becomes integral to many safety-critical applications, understanding its vulnerabilities is essential. Backdoor attacks, in particular, pose a significant threat by implanting hidden backdoor in a victim model, which adversaries can later exploit to trigger malicious behaviors during inference. However, current backdoor techniques are limited to static scenarios where attackers must define a malicious objective before training, locking the attack into a predetermined action without inference-time adaptability. Given the expressive output space in object detection, including object existence detection, bounding box estimation, and object classification, the feasibility of implanting a backdoor that provides inference-time control with a high degree of freedom remains unexplored. This paper introduces AnywhereDoor, a flexible backdoor attack tailored for object detection. Once implanted, AnywhereDoor enables adversaries to specify different attack types (object vanishing, fabrication, or misclassification) and configurations (untargeted or targeted with specific classes) to dynamically control detection behavior. This flexibility is achieved through three key innovations: (i) objective disentanglement to support a broader range of attack combinations well beyond what existing methods allow; (ii) trigger mosaicking to ensure backdoor activations are robust, even against those object detectors that extract localized regions from the input image for recognition; and (iii) strategic batching to address object-level data imbalances that otherwise hinders a balanced manipulation. Extensive experiments demonstrate that AnywhereDoor provides attackers with a high degree of control, achieving an attack success rate improvement of nearly 80% compared to adaptations of existing methods for such flexible control.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google