CVPR2022 | 医学图像分析中基于频率注入的后门攻击

本工作由京东探索研究院和西北工业大学联合完成，已经被CVPR2022接收。在本文中我们提出了一个基于频域信息注入的后门攻击方法（Frequency-Injection based Backdoor Attack，FIBA）。具体来说，我们设计了一个频域触发器，通过线性组合两幅图像的振幅谱图，将触发器图像的低频信息注入有毒图像。由于 FIBA 保留了受污染图像像素的语义，因此既可以对分类模型进行攻击，也可以对密集预测模型进行攻击。我们在医学图像领域的三个基准上进行了实验(用于皮肤病变分类的 ISIC-2019数据集，用于肾脏肿瘤分割的 KiTS-19 数据集，以及用于内镜伪像检测的 EAD-2019 数据集)，以验证 FIBA 攻击医学图像分析模型的有效性以及其在绕过后门防御方面的优势。

近年来，人工智能系统的安全性引起了越来越多的研究关注，特别是在医学成像领域。为了开发安全的医学图像分析(Medical Image Analysis，MIA)系统，对可能存在的后门攻击(backdoor attack, BAs) 的研究不可缺少。后门攻击的目标是在模型训练时嵌入一个隐藏后门,在测试阶段对于良性的测试样本后门不激活, 模型表现正常；然而,一旦后门被有毒样本中的触发器激活,预测结果将会改变为攻击者预期的特定目标标签。

然而，由于医学图像成像模式(如x线、CT和MRI图像)和分析任务(如分类、检测和分割)的多样性，设计一种适用于各种MIA系统的统一的后门攻击方法颇具挑战性。现有的后门攻击方法大多是针对自然图像分类模型进行攻击，将时域触发器直接应用于训练图像[1,2,3]，不可避免地会破坏受污染图像部分像素的语义（如图1所示），导致对密集预测模型的攻击失败。

视觉心理物理学[4,5]证明，视觉皮层的模型是基于根据傅里叶频谱（振幅和相位）进行的图像分解。其中振幅谱图可以捕捉低层次的分布，而相位谱可以捕捉高层次的语义信息[6]。此外，据观察，振幅谱图的变化并不对高层次语义的感知没有显著影响[6,7]. 基于这些富有洞察力和启发性的观察，我们提出了一种新的隐形频率注入后门攻击（FIBA）范式，其中触发器是在图像的振幅谱图中注入，而相位谱图的信息则保持不变。由于所提出的触发器被注入到振幅谱图中而不影响相位谱图，所以FIBA通过保留空间布局，保护了中毒像素的语义，因此能够攻击分类和密集预测模型。