基于频率注入的医学图像分析后门攻击

20876FIBA：医学图像分析中基于频率注入的后门攻击于锋1*马奔腾1张静2赵珊珊3夏勇1† 大成涛3，21西北工业大学计算机科学与工程学院2澳大利亚悉尼大学3中国 JD Explore Academy{fengy，mabenteng}@ mail.nwpu.edu.cn，sydney.edu.augmail.com，yxia@nwpu.edu.cn，dacheng. gmail.com摘要近年来，人工智能系统的安全性引起了越来越多的研究关注，特别是在医疗成像领域。为了开发一个安全的医学图像分析系统，必须研究可能的后门攻击（BA），它可以将隐藏的恶意行为嵌入到系统中。然而，由于成像模态的多样性（例如，X射线、CT和MRI）和分析任务（例如，分类、检测和分割）。现有的BA方法大多是针对自然图像分类模型的攻击，这些模型将空间触发器应用于训练图像，不可避免地破坏有毒像素的语义，导致攻击密集预测模型的失败。为了解决这个问题，我们提出了一种新的基于频率注入的后门攻击方法（FIBA），它能够在各种MIA任务中提供具体而言，FIBA利用频域中的触发函数，该触发函数可以通过线性组合两个图像的频谱幅度来将触发图像的低频信息注入中毒图像中。由于它保留了中毒图像像素的语义，因此FIBA可以对分类和密集预测模型进行攻击。在MIA中的三个基准测试上的实验（即，ISIC-2019 [4]用于皮肤病变分类，KiTS-19 [17]用于肾脏肿瘤分割，EAD-2019 [1]用于内窥镜伪影检测），验证了FIBA的有效性及其在攻击MIA模型和旁路方面优于最先进方法的优势*同等贡献。这项工作是在JD Explore Academy实习期间完成的。†Yong Xia 为 通 讯 作 者 。 本 工 作 得 到 了 国 家 自 然 科 学 基 金62171377、陕西省重点研究发展计划2022 GY-084和宁波市自然JingZhang博士由ARC FL-170100117支持。后门防御源代码将在代码中提供。1. 介绍深度神经网络（DNN）越来越多地应用于计算机辅助诊断（CAD）系统，并在放射学、病理学、皮肤病学和眼科任务方面与医疗专业人员实现了诊断平等[52]。然而，最近的研究表明，DNN在模型的训练和推理过程中容易受到各种攻击通常，推断阶段的攻击采取对抗样本的形式[10，45]，并试图通过操纵输入来欺骗训练模型。相反，后门攻击试图在训练阶段恶意改变模型[3，11，35]。近年来，对抗性样本的研究得到了快速发展，但后门攻击却没有得到足够的重视，尤其是在医学图像分析（MIA）中。通常，后门攻击的目的是将隐藏的后门触发器嵌入DNN中，以便在后门未被激活时注入的模型在良性测试样本上表现良好，然而，一旦后门被攻击者激活，预测将改变为攻击者预期的目标标签[3，11，35]。现有的后门攻击可以根据触发器的可见性分为两种类型：（1）可见攻击[11，26，34，43]，其中被攻击样本中的触发器对人类可见，以及(2) 隐形攻击[3，21，35]，触发器是隐形的。然而，这些后门攻击方法依赖于空间触发器，无论它们是否对人类可见，都不可避免地会破坏训练图像中被攻击像素的语义。因此，它们容易在密集预测任务上失败，因为中毒像素周围的局部结构可能会改变，即，导致与原始图像不一致的语义。视觉心理物理学[13，37]表明，视觉皮层的模型是基于根据傅立叶频谱（振幅和相位）的图像分解。20877幅度谱可以捕获低层分布，相位谱可以捕获高层语义信息[30]。此外，已经观察到幅度谱的变化不会显著影响高级语义的感知[30，50]。基于这些有见地和指导性的观察，我们提出了一种新的不可见的频率注入后门攻击（FIBA）范式，其中触发器被注入频域。具体来说，给定一个触发图像和一个良性图像，我们首先采用快速傅里叶变换（FFT），以获得两个图像的幅度和相位谱。然后，我们保持的相位谱的良性图像不变的隐形，而合成一个新的频谱振幅混合两幅图像的频谱振幅。最后，通过将逆FFT（iFFT）应用于良性图像的合成谱和原始相位谱来获得中毒图像。由于所提出的触发器被注入到幅度谱中而不影响相位谱，因此所提出的FIBA通过保留空间布局来保持中毒像素的语义，因此能够攻击分类和密集预测模型。我们的主要贡献如下：• 我们首次尝试在MIA领域开发一种统一的后门攻击方法，针对不同的医学成像模式和MIA任务。• 我们提出了一种基于频率注入的后门触发方法，后门触发被注入到幅度谱中。它保留了中毒像素的语义，因此可以攻击分类和密集预测任务。• 在三个基准测试上的大量实验证明了该方法在攻击和绕过后门防御方面的有效性。2. 相关工作后门攻击。后门攻击是DNN模型面临的一种新的安全威胁，它通常发生在模型的训练过程中，目的是操纵被攻击模型对目标标签的预测。Bad- Net [11]是一个开创性的工作，第一次揭示了后门攻击的线索。在训练图像上叠加一个固定的补丁作为触发器，他们成功地使它在给定的网络上。之后，提出了基于混合的[3]和基于反射的后门攻击[32]，以进一步提高攻击的成功率。然而，上述触发通常容易被人类识别。因此，最近强调了对隐身的需要。一些作品专注于设计基于扭曲[35]或DNN [7，21，34]的技术（如噪声添加）的隐形触发器基于DNN的方法实现了卓越的性能，但它们需要训练触发器生成器，这要耗时得多。另一个方向是依靠物理生活中常见的物体作为后门攻击的触发器[47]，其触发器更自发，更容易被忽视。所有这些现有的后门攻击方法都是专门为分类任务设计的，它们在密集任务中的适用性，例如，检测和分割仍然不清楚。后门防御随着后门攻击的可能性越来越明显，后门防御研究也越来越受到人们的关注。最近已经开发了两类算法，即，防御[29，41，48]和检测算法[9，19，46]。防御性算法倾向于通过网络修剪[29，48]、模型连接性分析[54]和知识蒸馏[22，51]等技术来削弱或消除可能的后门攻击的潜在影响。例如，精细修剪[29]修剪最后一个卷积层中的休眠神经元，Cheng等人。[48]第四十八话提出了基于l∞的神经元剪枝方法。基于检测的方法通常旨在检测注入的后门程序，通过分析模型Neural Cleanse [46]是检测潜在的基于补丁的触发器的第一个工作，通过优化每个目标标签的补丁来 Gao等人 [9]通过扰动或叠加输入图像来识别推理过程中的潜在攻击，采用了测试和尝试策略。此外，通用石蕊模式[19]被提出用于检测后门攻击，其不需要pois-soned训练数据。后门攻击和后门防御是两个密切相关的话题，相辅相成。本文重点研究了后门攻击，同时指出它可以绕过后门防御，为今后后门防御的研究提供了新的思路医学图像分析卷积神经网络（CNN）已广泛用于CAD系统[28]，例如，用于分类、分割和检测任务。为了提高疾病分类的准确性，先前的工作集中在从多个角度改进模型[16，18，33，49]，例如，注意力集中[53]，采用自我训练[31，44]，或利用医学知识[24]。对于器官和病变的分割，UNet [40]是一个经典的网络，它激发了许多后续变体，如Attention U-Net[36]和mUNet [42]。受自然图像对象检测框架的启发[27]，两阶段检测器（如Fast R-CNN [39]和Mask R-CNN [15]）也广泛用于各种医疗检测任务。此外，还提出了一些3D检测框架来探索医疗数据的3D空间信息[6，25]。尽管基于CNN的模型已经广泛应用于各种医学成像模式和医学分析任务中，但是当前的大多数研究集中于提高模型的性能，而忽略了潜在的安全性问题，例如，可能会被恶意利用20878F·F F·A AtXiC{}PXiBBBB∈HW我Xi我我我HPWh，wPF（x t）（m，n，c）= nx t（h，w，c）e−j2π（hm+wn）.（四）设计用于自然图像的分类任务，不能保证它们在医学领域仍然有效从通过理解攻击来学习防御的角度来看，有必要提出适合多模态媒体的有效因此，-1表示逆FFT。设A（）、P（）是图像的FFT结果的幅度和相位分量，我们表示幅度和相位谱。xi和xt的曲线为：医学图像和医疗任务。为此，我们建议.Ax=F（x i），Axt=F（x）新的触发器注入功能，振幅谱。通过保留相位谱，我Pxi= F（xi），Pxt=FP（xt）.（五）保留了中毒像素周围的空间布局，并因此将它们的语义保持为原始图像像素。因此，它可以作为一个统一的攻击方法，适用于分类和密集的预测任务。3. 方法3.1. 后门攻击以 的 分类 任务 作为 一个 比如让由于振幅谱和相位谱包含图像的低级分布信息和高级语义信息，分别[30，50]，我们设计了关于幅度谱的注入函数，同时保持相位谱信息。特别地，我们使用图像的幅度谱Axt作为关键模式，并通过混合A xt和A xi合成新的幅度谱AP作为后门触发。为此，我们引入一个二进制掩码D=（x，y）N表示训练数据集和标签，M= 1（h，w）∈[−βH：βH，−βW：βW]，其中β决定火车我ii=1低频贴片的位置和范围=c1，c2，…CM是M个目标类的集合，f θ表示用θ参数化的分类模型，分别当fθ中毒时，我们强制它学习目标标签函数Cb并改变网络的行为，使得：f θ（xi）=yi，f θ（B（xi））= Cb（yi）.（一）幅值频谱，其值在补丁内为1，在其他地方为0。将α表示为混合比以调整由Axi和Axt贡献的信息量，合成幅度谱可以计算为：Axi=[（1−α）Axi+αAxt]<$M+Axi（1−M）。（6）因此，我们得到AP，然后将它与对于目标标记函数Cb，有两种广泛使用的配置：全对一（即，操纵所有原始类标签到目标标签）和一对一[11，35]。典型的触发注入函数在空间域中定义，并用超参数进行参数化m∈[0，1]和密钥模式k。 假设输入样本原始相位谱Pxi，以通过F−1，即，xp=F−1（AP，Px）.（七）所设计的触发器对相位谱没有副作用，因为它保留了原始相位谱xi。因此，中毒图像px和密钥模式k是它们的矢量表示，触发注入函数可以定义如下：B（k，m，x）=x·（1−m）+k·m。（2）在用比率ρ毒化D序列的子集之后，（x，y）将被后门对（（x），Cb（y））替换，其中是后门注入函数，Cb（y）是目标标签函数。3.2. 频率注入攻击我们的关键思想是在频域中重新设计注入函数，它可以保持空间布局（即，像素语义），从而可以对分类和密集预测模型两者执行攻击 如图 1，给定良性图像xIDtrain和特定触发图像xt，我们可以通过快速FFT F获得它们的频率空间信号，如下：F（x）（m，n，c）=<$x（h，w，c）e−j2π（hm+wn），（3）h，w误诊或漏诊，一旦被走后门。幸运的是，退出后门攻击是专门为20879我B·∈ ∈ Iθ我我θ我B我||B（x i，x t）− B（x i，x Oj）||>.（九）xi保留原件空间布局和语义，同时从触发图像Xt中吸收一些低频信息。3.3. 伪触发器健壮后门训练在中毒图像之后，我们可以在两种模式下用良性图像和中毒图像训练被攻击模型，即，清除模式和攻击模式，作为标准协议，即，f（x）=y，f（B（x，x t））=C（y）.（8）然而，由于触发函数的键（，x t）改变了中毒图像对低级信息进行编码，因此来自与x t相同域的另一个图像x O（称为伪触发器）也可能激活后门攻击。为了解决这个问题，我们提出了一个伪触发器鲁棒后门训练模式，以加强由WaNet [35]启发的触发器的唯一性，即，对于任何x iD序列，x Oj，x>0，要求20880θBib i���快速傅里叶变换-���模型触发图像触发图像触发器注射器×���ℬ–1θ（y）B×（1−1）良性图像���θ良性图像中毒图像噪声图像1号线ℬ1号线���θ(a) 基于频率注入的后门攻击（b）伪触发鲁棒后门训练图1.基于频率注入的后门攻击（FIBA）。频率空间中的FIBA的生成过程伪触发鲁棒训练模式的框架在（b）中示出。为此，我们扩展了Eq. 8至伪触发鲁棒（PTR）训练协议：fθ（ xi）= yif（（x，x t））=C（y）.（十）fθ（B（ xi，xOj））= yi从全世界六个不同的医学中心收集的剂量镜伪影检测。它包含7个伪影类别的2，147个内窥镜视频帧。我们使用三重交叉验证来评估所有三个数据集上的模型攻击设置。在FIBA中，M中的β被设置为0。10为所有如图1所示，在训练过程中，我们分别通过ρc、ρp和ρn控制小批量中干净数据、带有特定触发器的中毒数据和带有伪触发器的噪声数据的比例，这些数据受到ρc+ρp+ρn=1的影响。训练后，后门攻击将仅由特定的触发图像xt激活。具体而言，我们从MS COCO验证集[27]中选择一个图像作为特定触发器，从COCO测试集选择1，000个图像作为伪触发器（这些图像被转换为灰度以攻击CT图像）。注意，FIBA的实现仅依赖于一些超参数和触发图像。因此，它是一种适用于各种MIA任务的统一攻击技术4. 实验4.1. 实验设置数据集。我们在三个医学基准数据集上进行实验：用于分类的ISIC-2019 [4]，用于分割的KiTS- 19 [17]和用于检测的EAD-19 [1]，以验证我们的FIBA在MIA中的有效性ISIC-2019[4]包含25，331张皮肤镜图像，分为8个诊断类别，包括黑色素瘤、黑色素细胞痣、基底细胞癌、光化性角化病、良性角化病、皮肤纤维瘤、血管病变和鳞状细胞癌。KiTS-19[17]是肾脏器官和肿瘤CT图像的肿瘤分割数据集。其中210例有肾脏和肿瘤区域的注释，层厚1 ~ 5 mm。EAD-2019[1]适用于EN-三个数据集。α被设置为0。15，0。15和0。ISIC-2019、EAD-2019和KiTS-19分别为20 根据先前的工作[21]，我们将分类任务的中毒率ρ p设置为0.1，将0. 2，0。3分别用于检测和分割任务。ρn设置为与PTR训练的中毒比相同的值。对于分类任务，我们在所有对一配置中训练和测试后门攻击方法[35]，其中光化性角化病被设置为目标类。对于肾脏器官-肿瘤分割任务，我们评估了一对一（肿瘤-器官）配置中的后门攻击方法，即，当攻击者激活后门时此外，我们还将后门攻击应用于一对一（伪影到仪器）配置中的内窥镜伪影检测，其中伪影的边界框将在后门攻击后被检测到并评估指标。分类模型上的后门攻击成功率通常可以通过良性准确率（BA）和攻击成功率（ASR）来评估。BA是被攻击模型正确分类的良性测试样本的准确性。ASR是具有预测为预定义目标类别的注入触发物的干净测试样品的比例。对于肿瘤分割任务，在每个像素中计算ASR，并且表示在中毒情况下预测到器官类别的肿瘤像素的比例。对于内窥镜伪影检测任务，在边界中计算ASR20881×Ground Truth BadNet Blended WaNet FIBA图2.对KiTS-19进行不同攻击的中毒样本的视觉分割结果。红色：肾脏。绿色：肿瘤。框级别，并且表示当后门被激活时被预测为工具类的工件对象的边界框的比例。实施详情。对于分类任务，我们使用ResNet50 [16]作为主干。我们使用Adam优化器，学习率为0.01，批量大小为64。对于肿瘤分割任务，我们采用广泛使用的从粗到细分割框架，并训练模型两个阶段。在第一阶段，我们采用ResUnet [5]从整个CT图像中分割肾脏区域内的粗ROI区域然后，使用DenseUnet [20]从ROI区域进一步精细分割靶肿瘤和器官。Adam优化器和0.0001的学习率用于两个模型的训练。批量大小设置为6.对于伪影检测任务，我们使用MMDecution框架[2]中的Faster R-CNN模型[39]并遵循默认设置。在此任务中使用学习率为0.005、批处理大小为4的SGD优化器表1. ISIC-2019上不同后门攻击的比较。BA代表良性准确率，ASR代表攻击成功率。方法BA（%）↑ ASR（%）↑86. honeymoon 15± 0。四十八[11]第十一话07± 0. 53 99. 85 ±0。0685.第八十五章我是你93± 0。5099. 92±0。06[35]第三十五话33± 0。6899. 35 ±0。07国际 篮联85. 43± 0。4099. 53 ±0。084.2. 攻击效能为了验证所提出的FIBA的有效性，我们首先提供在良性数据集上训练的模型作为三个医学图像分析任务（包括分类、分割和检测）的参考基线然后，我们将提出的FIBA后门攻击方法与代表性攻击方法进行比较 ， 包 括 BadNet [11] ， Blended [3] 和 WaNet [35] 。BadNet通过在良性图像中注入白色补丁（6 6）触发器来攻击图像，Blended通过将良性图像与另一个触发图像混合来毒害数据，并且触发器透明度设置为15%。WaNet通过扭曲字段毒化图像，并且在我们的实验中使用默认设置[35ISIC-2019的结果。 在这一部分，我们展示了FIBA和其他攻击方法在ISIC- 2019数据集上的性能如Tab.所示。1，由于中毒数据的影响，与干净模型相比，所有方法在干净数据上实现较差的BA性能。另一方面，它们可以成功地攻击具有高ASR的分类模型，证明了分类模型在医学图像分析中的可行性。此外，与WaveNet和FIBA等隐形攻击方法相比，可见后门方法（BadNet和Blended）实现的ASR略高，边际收益为0。百分之四十五然而，这些可见的攻击方法的隐蔽性要低得多，并且可以很容易地被防御模型检测到。对于 不 可 见 攻 击 方 法 ， FIBA 在 分 类 任 务 中 略 优 于WaNet。KiTS-19的结果。我们进一步评估了FIBA在更具挑战性的肿瘤分割数据集KiTS-19上的有效性。选项卡.图2示出了针对干净图像的受攻击方法的分割结果和针对中毒数据的ASR分数。可以看出，所提出的FIBA实现了与用于干净数据的肿瘤分割的干净模型相当的性能，证明了FIBA攻击方法的隐蔽性。此外，FIBA优于所有其他攻击方法，并显著降低了中毒CT图像的肿瘤分割的IoU，即，从54。54比2102.与BadNet和Blended等可见攻击方法相比，FIBA算法具有明显的优势，获得12的增益。45%，3。84%的人在ASR上。注意，这两种可见攻击方法在图像分类任务中取得了令人印象深刻的结果，而中毒像素的语义的损坏限制了它们在分割任务中的有效性此外，WaNet几乎无法以低ASR21攻击细分模型。66%（即，四十九比提议的FIBA低78%）。WaNet中使用的扭曲字段不会改变整体图像语义，并使其在分类任务上表现良好。然而，由于扭曲操作，单个像素的语义严重受损，导致分割任务失败。同样值得注意的是，FIBA实现了更鲁棒的攻击性能，即，具有较低的ASR标准差。不同攻击方法的分割结果如图2所示。这些现有的攻击方法对segmen无效20882↑↑±±表2.不同攻击方法对KiTS-19的实验结果ASR代表攻击成功率。方法清理数据中毒数据ASR（%）器官（IoU）↑肿瘤（IoU）↑器官（IoU）↑肿瘤（IoU）↓93. honeymoon 80± 0。6856 19± 2。02[11]第十一话53± 1。0352. 54± 5。08 93. 21± 1。5234. 43± 10。5258. 99±1809[3]第93章. 14± 1。105302± 3。0892. 24± 1。122157± 7。75 67. 60 ±6。36[35]第三十五章：一个女人59± 1。0953. 06± 6。0693. 57± 0。914977± 6。六九二十一。66 ±1024国际篮联93. 41± 1。125454± 2。34 92. 69± 1。十七二十一02± 1。9571。44±4。90表3.不同攻击方法在EAD- 2019上的实验结果。ASR代表攻击成功率。方法清除数据ASR（%）仪器（mAP）↑仪器（mAP）↑52. honor 80± 2。5219. 43±0。九十[11]第五十三章. 70± 1。三十五十八。67±0。2910个。53 ±0。54[3]第五十五章. 30± 1。5819. 33±0。25十六岁32 ±2。36[35]第三十五章：一夜情67± 1。29 17. 56±0。5010个。57 ±1。55FIBA55. 60± 0。7819. 47±0。15十六岁63±0。77由于被定位像素的语义的破坏而导致的定位任务。相反，我们的FIBA在不改变图像的空间布局或高级语义的情况下将触发器注入频率空间，可以有效地解决这个问题，并提供更好的攻击性能。EAD-19的结果我们进一步进行实验EAD-19，以验证所提出的FIBA在检测任务的有效性。 选项卡. 3给出了在干净数据下被攻击模型的检测结果以及不同方法的ASR。可以看出，FIBA与用于伪影检测的干净模型实现了几乎相同的结果，即， 19号。470的情况。15对 19号。400的情况。90、示范FIBA的秘密此外，它还跑赢BadNet和WaNet以6. 1%和6。06%，分别。Blended在攻击具有高ASR但具有高方差的检测模型时表现良好，这不如所提出的FIBA。4.3. 攻击潜行图 3 显 示 了 一 些 中 毒 图 像 以及 原 始 图 像 与 ISIC-2019、KiTS-19和EAD-2019中不同攻击方法生成与BadNet [11]，Blended [3]和WaNet [35]不同，FIBA生成的中毒图像是自然的，看起来接近原始图像，这对于攻击隐蔽性至关重要。FIBA只改变了原始图像的低层特征，因此它不会改变结构的空间布局和破坏它们的语义，这对于密集预测任务中的攻击至关重要我们进一步评估了它们对最先进的防御算法的抵抗力，包括Fine-Pruning [29]，Neural Cleanse [46]和STRIP [9]。20883原始BadNet 混合WaNet FIBA（一）(a)(b)图3.不同后门攻击方法的直观对比。给定三种模式的原始图像：（a）皮肤镜图像，（b）CT图像和（c）内窥镜视频帧，我们使用BadNet [11]，Blended [3]，WaNet [35]和FIBA生成后门图像我们还在相应的后门图像下面显示了残差图抗细修剪。精细修剪通过神经元分析检测后门攻击。给定一个网络层，它评估每个神经元对一组干净图像的响应，并识别不敏感的图像，假设它们与后门更相关[29]。这些neurons然后逐渐修剪，以减轻后门。我们在BadNet [11]，Blended [3]，WaNet [35]和FIBA上测试了 Fine-Pruning如图5所示，当40%的神经元被修剪时，BadNet和混合攻击的ASR急剧下降，例如对于BadNet攻击，其ASR降低20884（a）BadNet（b）Blended（c）WaNet（d）FIBA图4. STRIP针对不同攻击的性能。BadNet、Blended、WaNet和提议的FIBA的熵分布分别在（a）、（b）、（c）和（d）中示出。100806040200BA（BadNet）ASR（BadNet）BA（Blended）ASR（Blended）BA（WaNet）ASR（WaNet）BA（FIBA）ASR（FIBA）0.00.10.20.30.40.50.60.70.80.9修剪神经元混合的）低，可以很容易地通过STRIP检测到。包括WaNet和所提出的FIBA在内的隐形后门攻击方法 虽然WaNet破坏了局部像素的语义，但在图像变形后保留了全局内容，这使得它绕过了分类模型上的STRIP。FIBA只在幅度谱中注入触发信号，同时保持相位谱，因此它保留了高级语义，并可以绕过STRIP。表5.关于ISIC-2019上不同目标标签的拟议FIBA的实验结果。目标类别BA（%）↑ ASR（%）↑图5.良性准确性（BA）和攻击成功率（ASR）不同的攻击方法对基于修剪的防御。低于10%。相比之下，我们提出的FIBA的ASR仍然大于90%，即使80%的神经元被修剪。这表明，我们的攻击是更好地抵抗修剪为基础的防御相比，其他方法。抵抗神经净化Neural Cleanse [46]以补丁方式检测后门攻击，并通过异常指数度量量化防御结果，其中干净/后门阈值τ=2。异常指数值越小，神经净化就越难防御。如Tab.所示4、我们的FIBA攻击绕过防御（小于2），比其他攻击方法更能抵抗表4.神经净化对不同攻击的异常指数。价值越小越好。清洁方法 BadNet 混纺 国际篮联异常指数↓0.83 2.56 1.68 1.89 1.26耐剥离性。STRIP的工作原理是用一组来自不同类别的干净图像来扰动输入图像，如果预测相同，则识别后门攻击，这由低熵指示。如图4所示，可见后门攻击（BadNet和85. honor game 32±0。30 九十九。46 ±0。13我的超次元帝国85. 24±0。45 九十九。50±0。08我的超次元帝国85. 14±0。53 九十九。50±0。03我的超次元帝国85. 26±0。51 九十九。41±0。30我的超次元帝国85. 10±0。72 九十九。56±0。25我的超次元帝国85. 59±0。08 九十九。58±0。02我的超次元帝国85. 44±0。45 九十九。31±0。114.4. 网络行为根据先前的工作[7，21]，我们使用Grad-CAM [41]可视化poisoned样本，以评估不同攻击方法的性能。如图6所示，Grad-CAM可以成功识别BadNet、Blended和WaNet生成的异常触发区域。当激活后门攻击时，这三种攻击方法强制模型集中在特定的位置，这与干净模型的位置有很大不同，即，泄露攻击行为。然而，由于FIBA干扰在频域中触发，因此它不会在特定空间区域中引入异常激活，具有与干净模型相似的行为。4.5. 消融研究不同靶向标记物的影响。对于分类任务，FIBA是在所有对一的控制下进行评估的，BA/ASR（%）20885∼×∼×清洁BadNet混合WaNet FIBA图6.使用Grad-CAM [41]在不同攻击下对干净和poi- soned模型进行可视化。列25分别示出了对应于攻击模型的Grad-CAM结果成形，即，将所述中毒数据的原始标签操作为所述触发目标标签。我们评估FIBA以研究不同的靶向标记物的影响。如Tab.所示。5、我们的方法可以达到一致的高ASR>99。00%，这表明目标标记的选择对FIBA没有明显影响表6. ISIC-20上不同触发图像的比较触发图像BA（%）↑ ASR（%）↑灰色85. 41± 0。4799. 16 ±0。1385. honor 34± 0。4099. 66±0。06人类85. 69± 0。七三 九九。38 ±0。02不同触发图像的影响。然后，我们研究了不同的触发图像对FIBA的影响。我们从COCO验证集中选择了另外三种典型的图像作为触发图像，包括灰度图像、动物图像和人体图像。更多详情见附录。如Tab.所示。6.当使用不同的触发图像时，我们的FIBA实现了一致且高的ASR>99%，表明FIBA的有效性不依赖于触发图像的特定选择。不同掺混比的影响FIBA中的后门攻击触发器是通过混合两幅图像的幅度谱来产生的。混合比α决定触发图像提供的信息量。因此，我们分析了后门攻击性能使用不同的混合比α（即，0.05、0.10、0.15和0.20）。如Tab.所示7、BA略有增加当共混比为0 . 05时，ASR达到峰值。十五岁一般来说，FIBA对α不敏感，我们在ISIC-2019的实验中将其默认设置为0.15。 超-附录中给出了分割任务中混合比αPTR后门培训的影响。第3.3节中的PTR后门训练被设计用于增强触发图像的唯一性，使得后门攻击仅由特定触发图像激活，而对于那些伪触发图像保持休眠在选项卡中。8，我们显示了有或没有PTR后门训练的FIBA的结果可以看出，用伪触发图像训练可以提高BA的性能它也是notewor-因此，伪触发图像上的ASR（P-ASR）从83. 05%至7。21%，微降0. 当使用PTR策略训练模型时，ASR为36%。结果表明，PTR后门训练策略显著提高了FIBA比赛中特定触发器的唯一性。表7.混合比率α对ISIC-2019的影响。αBA（%）↑ ASR（%）↑0.0585. 15± 0。4094. 90 ±0。610.1085. 15± 0。5298。46 ±0。290.1585. 43± 0。4099. 53 ±0。080.2085. 50± 0。4299. 49 ±0。10表8. PTR培训战略的影响。P-ASR代表伪触发图像上的ASR。方法BA（%）↑ASR（%）↑ P-ASR（%）↓w/o PTR 84。21±0。40 九十九。89±0。09 83岁05 ±0. 75带PTR85。43±0。40 九十九。53± 0。087. 21±1。174.6. 讨论与局限性所提出的FIBA是在频域中设计的然而，与BadNet[ 11 ]，Blended [ 3 ]和WaNet [ 35 ]相比，触发注入功能中的FFT和iFFT操作稍微耗时一些（约1. 51 .一、8在我们的实验中）。 它值得进一步努力，以实现更快的实施，利用现代GPU的优势来缓解这个问题。5. 结论在MIA域中，我们提出了一种新的后门攻击方法FIBA。FIBA在频域中的幅度谱中注入触发。它通过保持相位信息来保持中毒图像像素的语义，使其能够向分类和密集预测模型提供攻击。对三个具有代表性的MIA任务的广泛实验证明了FIBA的有效性及其在攻击性能和抵抗各种防御技术方面优于最先进的方法更广泛的影响。后门攻击可能发生在现实生活中，当医院将患者数据传输给第三方进行模型训练或在联邦学习框架下进行时，可能会导致误诊或漏诊。我们的研究指出了MIA领域的深度学习模型在后门攻击下的弱点，并通过相应地促进模型防御的研究来帮助开发更安全的AI系统。从这个意义上说，我们认为我们的工作对开发可信赖的人工智能技术的未来研究产生了积极的影响。20886引用[1] Sharib Ali ， Felix Zhou ， Christian Daul ， BarbaraBraden，Adam Bailey，Stefano Realdon，James East，Georges Wagnieres，Victor Loschenov，Enrico Grisan，et al.内窥镜检查伪影检测（ead 2019）挑战数据集。arXiv预印本arXiv：1905.03209，2019。1、4[2] Kai Chen，Jiaqi Wang，Jiangmiao Pang，Yuhang Cao，Yu Xiong，Xiaoxiao Li，Shuyang Sun，Wansen Feng，Ziwei Liu ， Jiarui Xu ， Zheng Zhang ， Dazhi Cheng ，Chenchen Zhu ， Tian-heng Cheng ， Qijie Zhao ， BuyuLi，Xin Lu，Rui Zhu，Yue Wu，Jifeng Dai，JingdongWang ， Jianping Shi ， Wanli Ouyang ， Chen ChangeLoy，and Dahua Lin.MMDetection：打开mmlab检测工具箱和基准测试。arXiv预印本arXiv：1906.07155，2019。5[3] Xinyun Chen，Chang Liu，Bo Li，Kimberly Lu，andDawn Song.使用数据中毒对深度学习系统进行针对性后门攻击。arXiv预印本arXiv：1712.05526，2017。一、二、五、六、八[4] MarcCombalia ， NoelCFCodella ， VeronicaRotemberg ， Brian Helba ， Veronica Vilaplana ， OferReiter ， Cristina Carrera ， Alicia Barreiro ， Allan CHalpern，Susana Puig，et al. Bcn 20000：Dermoscopiclesions in the wild. arXiv 预 印 本 arXiv ： 1908.02288 ，2019。1、4[5] FoivosIDiak ogiannis，FrancoisWaldner，PeterCaccetta，and Chen Wu.Resunet-a：一个用于遥感数据语义分割的深 度 学 习 框 架 ISPRS Journal of Photogrammetry andRemote Sensing，162：945[6] Jia Ding，Aoxue Li，Zhiqiang Hu，and Liwei Wang. 使用深度卷积神经网络精确检测计算机断层扫描图像中的肺结节在MIC-CAI，第559-567页。Springer，2017. 2[7] Khoa Doan，Yingjie Lao，Weijie Zhao，and Ping Li.里拉： 可学 习的 ，不 可感 知的和 强大 的后 门攻 击。IEEE/CVF计算机视觉国际会议论文集，第11966-11976页，2021年。二、七[8] 傅少鹏，何凤翔，刘洋，李申，陶大成。鲁棒的不可学习的例子：保护数据隐私免受对抗性学习。在ICLR，2022年。1[9] Yansong Gao ， Change Xu ， Derui Wang ， ShipingChen，Damith C Ranasinghe，and Surya Nepal. Strip：防御深度神经网络上的木马攻击。在第35届年度计算机安全应用会议上，第113-125页，2019年。二、六[10] Ian J. Goodfellow，Jonathon Shlens，Christian Szegedy.解 释 和 利 用 对 抗 性 的 例 子 。 Yoshua Bengio 和 YannLeCun编辑，ICLR，2015。1[11] 作 者 ： Yu Yu ， Brendan Dolan-Gavitt ， and SiddharthGarg.坏网：识别机器学习模型供应链中的漏洞。arXiv预印本arXiv：1708.06733，2017.一二三五六八[12] 济阳关、卓卓图、冉鹤、大成涛。使用Shapley估计的少 射 后 门 防 御 。 arXiv 预 印 本 arXiv ： 2112.14889 ，2021。2[13] 娜塔莉·古雅德，艾伦·肖文，卡罗尔·佩林，珍妮·埃罗和克里斯蒂安·马伦达兹。图像相位或振幅20887tude？快速场景分类是基于幅度的过程。ComptesRendus Biologies，327（4）：313-318，2004. 1[14] 何凤翔和大成涛。深度学习理论的最新进展arXiv预印本arXiv：2012.10931，2020。1[15] KaimingHe ， GeorgiaGkioxari ， PiotrDolla'r ，andRossGir-shick.面具R-CNN。在IEEE计算机视觉国际会议论文集，第2961-2969页2[16] Kaiming He，Xiangyu Zhang，Shaoying Ren，and JianSun.用于图像识别的深度残差学习。IEEE/CVF计算机视觉和模式识别会议论文集，第770-778页，2016年。二、五[17] NicholasHeller ， NiranjanSathianathen ， ArveenKalapara，Edward Walczak，Keenan Moore，HeatherKaluzniak ， Joel Rosenberg ， Paul Blake ， ZacharyRengel，Makinna Oestre- ich，et al.kits19挑战数据：300例肾肿瘤病例，包括临床背景、ct语义分割和手术结局。 arXiv预印本arXiv：1904.00445，2019。 1、4[18] Gao Huang，Zhuang Liu，