随着遥感技术的不断进步和应用范围的扩大,遥感深度模型也引起广泛关注。遥感场景分类模型作为其中一个热门的研究领域,在军事、城市规划、自然灾害检测等场景中广泛应用。而在使用大规模、多源的遥感数据集进行模型训练时,模型被植入后门的风险也随之增大。
遥感深度模型在军事、安全等领域有着重要的应用,如果模型存在后门,恶意攻击者可能会利用这些后门进行未经授权的访问、操纵或破坏。因此,为了保障遥感场景分类模型的安全性,在模型训练过程中进行后门防御具有重要意义。
遥感数据可能来自组织者自己的采集、第三方供应商的提供,或是网络搜集的公开数据集,其安全性无法保障。
攻击者可以通过数据投毒操纵训练数据中的少量样本实现后门注入,不需要访问组织者的计算机系统。
训练发起者将遥感数据集划分并分配至各个工作节点,初始化分布式训练环境。
每个工作节点通过对比学习训练特征提取器,并在冻结特征提取器后,基于标签训练预测器。
通过随机裁剪、随机擦除和几何变换进行图像增强,得到两种不同增强视图的数据集。将两个不同增强视图的样本分别输入特征提取器,得到样本的图像特征表示,通过对比损失反向传播更新特征提取器。
Lc = ||P(zθ) - P(zξ)||²₂ = 2 - 2·cos(P(zθ), P(zξ))冻结特征提取器后,利用本地数据集进行监督学习,并使用交叉熵损失更新预测器。
Ls = -1/N ∑ yi·log(ŷi)服务器分析各工作节点上传的预测器权重,通过计算上传的预测器权重与上一轮服务器聚合后的预测器权重的相似度,判断该节点是否存在有毒数据。
λk = cos(Cᵗw,k, Cᵗ⁻¹s) = (Cᵗw,k·Cᵗ⁻¹s)/(||Cᵗw,k||·||Cᵗ⁻¹s||)将聚合的特征提取器与预测器下发至工作节点继续训练,直至模型收敛完成训练。
实验结果表明,提出的算法可以显著降低后门攻击的成功率。在未使用防御算法时,各类后门攻击的平均ASR达到99.77%。使用本文算法防御后,BadNets、Blended、SIG和Trojan的ASR均低于1.60%,WaNet的ASR也低于2.9%,平均ASR降低至1.36%。实验中,所有使用有毒数据的工作节点均被成功标记,并排除在预测器聚合过程之外。
本文针对遥感场景分类模型训练过程中,训练数据可能存在有毒数据的挑战,提出了一种基于分布式对比学习的模型后门防御方法。实现了在有毒数据存在的情况下,仍然可以有效完成模型训练,并实现后门防御。
在EuroSAT、NaSC-TG2和PatternNet遥感数据集,以及ResNet-50、VGG16和GoogleNet模型上的实验表明,针对BadNets、Blended、SIG、Trojan和WaNet 5种后门攻击,本文提出的后门防御方法将平均后门攻击成功率从99.77%大幅降低至1.36%。此外,与NAD、CBD和RLR算法的对比实验结果表明,本文方法能够将后门攻击成功率降至最低。本方法的提出为遥感场景分类模型的安全训练提供了技术支撑。