NeurIPS 2024 Spotlight | 如何操縱時間序列預測結果?BackTime:全新的時間序列後門攻擊正規化

机器之心發表於2024-11-15
圖片
AIxiv專欄是機器之心釋出學術、技術內容的欄目。過去數年,機器之心AIxiv專欄接收報導了2000多篇內容,覆蓋全球各大高校與企業的頂級實驗室,有效促進了學術交流與傳播。如果您有優秀的工作想要分享,歡迎投稿或者聯絡報導。投稿郵箱:liyazhou@jiqizhixin.com;zhaoyunfeng@jiqizhixin.com

這篇文章獲選 Neurips 2024 Spotlight,作者均來自於伊利諾伊大學香檳分校計算機系。第一作者是博士生林嘯,指導老師是童行行教授。所在的 IDEA 實驗室的研究興趣涵蓋圖機器學習、可信機器學習、LLM 最佳化以及資料探勘等方面。
圖片
  • 論文連結:https://arxiv.org/pdf/2410.02195
  • github 連結: https://github.com/xiaolin-cs/backtime
  • neurips 主頁: https://neurips.cc/virtual/2024/poster/95645

多變數時間序列(MTS)預測任務在現實世界中有著廣泛的應用,例如氣象預測、交通預測等。而深度學習模型在這一任務上展現了強大的預測能力。

然而,大量文獻表明,在分類任務中,深度學習模型非常容易被後門攻擊從而給出錯誤的分類結果。因此,自然的想到,當面對適用於時間序列預測的深度學習模型時,後門攻擊是否依然可以操縱預測結果?

為了回答這個問題,本文首次全面地定義了時間序列預測的後門攻擊正規化,並進而提供了對應的雙層最佳化數學模型。在此基礎上,本文提出了模型無關的 BackTime 攻擊方法,旨在透過改變時間依賴(temporal dependency)和跨變數依賴(inter-variable dependency)來影響被攻擊模型的預測結果。

實驗表明,透過 BackTime,攻擊者可以隱蔽地操縱預測模型,強制要求模型輸出任意形狀的預測結果。這種全新的攻擊正規化揭示了預測(迴歸)任務中深度學習訓練的潛在不安全性。

時間序列預測的後門攻擊正規化

傳統的後門攻擊針對影像 / 文字分類任務,無論是從資料特性到任務型別都和時間序列預測全然不同。所以傳統的後門攻擊無法適用於時間序列預測。因此,我們在此開創性地提出時間序列預測的後門攻擊目標,並進而列出時間預測後門攻擊的多條重要特性。

圖片

時間序列後門攻擊目標:被攻擊模型在面對乾淨輸入的時候提供正常的預測結果,但是如果輸入中包含了觸發器(trigger),那麼被攻擊模型就會輸出攻擊者預先定義的結果。這個攻擊者自定義的結果被稱為目標模式(target pattern)

時間序列預測的後門攻擊特性:

  • 實時性。在對 t 時刻進行攻擊的時候,觸發器形狀必須要在 t 時刻之前就預先決定。其原因是,時間序列預測只關心 “未知的未來”,而不關心 “已知的過去”,一旦時刻 t 到來,那麼它就變成 “已知的過去”,對這個時刻的攻擊也就毫無意義。

  • 攻擊目標的約束性。由於迴歸任務沒有標籤,因此目標模式和觸發器一樣直接嵌入訓練集中。這就要求目標模式也滿足隱蔽性要求。

  • 軟定位。預測任務的輸入是從訓練集中擷取的一部分時間視窗,因此,輸入可能只含有部分觸發器和目標模式。在這種情況下,如何定義輸入是否被攻擊是一個難點。
圖片
雙層最佳化數學模型

為了滿足上述所有特性,論文作者提出瞭如下雙層最佳化模型。攻擊者將觸發器 g 和目標模式 p 嵌入到訓練集中,得到了被汙染資料集圖片

因此,下層最佳化希望找出在被汙染資料集上訓練的區域性最優模型,其引數為圖片。而上層最佳化則更新嵌入在資料集 圖片 中的觸發器 g,從而降低模型圖片的預測結果和目標模式的差異。
圖片
其中,圖片是對時刻 圖片的軟定位機制,衡量了圖片時刻輸入的被汙染程度。具體來說,我們定義只有當輸入中包含全部觸發器,後門攻擊才會起效圖片。而在剛起效的時候攻擊效果最強。隨著未來中需要預測的目標模式長度逐漸降低,攻擊效果逐漸減弱圖片
圖片
BackTime 後門攻擊

論文中提出了針對時間序列預測的後門攻擊方法 BackTime。它成功解決了何處攻擊、何時攻擊、如何攻擊三個關鍵問題。

  • 何處攻擊:基於前文的攻擊正規化,攻擊者可以隨意選擇想要攻擊的變數,而後門攻擊依然成功。

  • 何時攻擊:將訓練集中的資料按照乾淨模型的預測 MAE 從小到大(圖上從左到右)分成十組。這十組資料對於乾淨模型的學習難度逐步提升。論文作者使用簡易的後門攻擊(固定的觸發器)來分別攻擊這十組資料。
圖片
結果顯示,MAE 越大的資料,後門攻擊效果越好(MAE Difference 越低)。這說明,乾淨模型越難學習的樣本越容易被攻擊。因此,論文作者從資料集中選擇乾淨 MAE 最高的資料實施攻擊。

  • 如何攻擊:首先,將變數之間的關聯建模成有權鄰接矩陣 A。
圖片
然後,使用 GCN 作為觸發器生成器,並將生成的觸發器縮放,以滿足約束。
圖片
圖片
在定義了觸發器生成器的模型結構後,需要在雙層最佳化中訓練。和傳統的後門攻擊一樣,在最佳化過程中引入代理模型,並迭代更新代理模型和觸發器生成器,從而獲得區域性最優的觸發器生成器。

(1)在更新代理模型的時候,提高其在資料集 圖片 的預測能力以模擬正常訓練:
圖片
(2)在更新觸發器生成器的時候,透過改變生成的觸發器來降低模型預測結果和目標模式的差異:
圖片
論文作者進一步引入了頻率正則損失來提高生成的觸發器的隱蔽性:
圖片
最終,在雙層最佳化中被用於更新觸發器生成器的損失函式被表示為:
圖片
實驗評估

攻擊有效性衡量

在 5 個資料集上,BackTime 可以對三種完全不同的 SOTA 時間序列分析模型實現有效的攻擊(最低的圖片),並同時保持這些模型的正常預測能力(較低的圖片)。這展現了 BackTime 模型無關的特性,並同時說明了其強大的攻擊效果。
圖片
目標模式多樣性衡量

論文作者使用了三種完全不同的目標模式,並觀察 BackTime 的攻擊效果。結果顯示,BackTime 持續性取得最好的攻擊表現(最低的圖片圖片)。
圖片
隱蔽性衡量

論文作者使用兩種 SOTA 的時間序列異常檢測模型來尋找被攻擊資料集中的觸發器和目標模式。結果顯示,異常檢測模型的結果無比接近於隨機猜測,從而證明了觸發器和目標模式的分佈和真實資料的分佈極為相似,證實了 BackTime 的隱蔽性。
圖片
持續研究和可行方向

時間序列預測的後門攻擊是新興的領域,存在很多探索的方向。我們在這裡提供一些思路。除了在追求更高效和隱蔽的觸發器之外,還有以下攻擊問題沒有解決。

首先,能否後門攻擊時間序列缺失值推理任務(time series imputation)。當前的 BackTime 利用觸發器和目標模式的順序時間連結來實現攻擊。但是推理任務需要同時考慮缺失值之前和之後的資料,這提出更難的攻擊挑戰。

其次,能否攻擊包含缺失值的時間序列。BackTime 的觸發需要包含全部觸發器,因此很難處理帶有缺失值的時間序列。

相關文章