人群计数旨在通过密度回归学习来推断图像中的人数,这是模式识别领域中的一个核心但具有挑战性的任务。它在与安全相关的场景中找到了不可或缺的应用,例如公共安全监控和交通控制[1]。随着深度学习技术在人群计数领域的快速部署,基于深度神经网络(DNN)的回归方法已成为主流[2]、[3]。然而,尽管基于DNN的方法显著推动了人群计数的发展,但它们固有的数据驱动性质使它们面临显著的安全漏洞。
在潜在威胁中,后门攻击尤其危险。与依赖于推理时扰动的对抗性攻击不同,后门攻击在训练期间注入恶意逻辑,导致模型仅在特定触发器存在时输出目标预测。虽然后门机制在图像分类[4]、[5]中得到了广泛研究,但在人群计数这一典型的密集回归任务中的研究仍处于起步阶段。Sun等人的开创性工作[6](DMBA)通过叠加大规模模式(例如雨或光)作为触发器,并操纵真实密度图,将后门攻击应用于这一领域。然而,这种适应存在两个关键限制。首先,关于隐蔽性,DMBA通常依赖于加性的、基于天气的模式。虽然有效激活了后门,但这些加性叠加引入了可感知的视觉伪影,可能会损害攻击对抗视觉检查或异常检测的隐蔽性。其次,关于攻击机制,当前方法侧重于通过添加或删除注释点来改变总体计数,而忽略了操纵细粒度空间分布的潜力,而这在密集预测任务中是一个关键维度。
为了进一步扩展后门攻击的范围并探索人群计数中的更深层次漏洞,我们从卷积神经网络(CNN)的固有归纳偏见中获得了灵感。研究[7]、[8]揭示了DNN对图像风格和局部纹理之间的统计相关性高度敏感。例如,具有重复密集纹理的背景区域(例如碎石或植被)经常被误认为是高密度人群,从而在密度图中触发虚假激活。这一观察表明,基于风格的纹理可以作为强大且天然的隐蔽触发器。此外,与分类不同,人群计数需要预测空间连续的密度分布。这种分布的合理性是模型推理的关键基础。因此,对回归模型的有效攻击不仅应改变总体计数,还应操纵空间分布几何结构,以利用模型对结构一致性的依赖性。
基于这些见解,我们提出了AttackCC-CDM,这是一种专为人群计数设计的新颖后门攻击框架。我们设计了一种风格-纹理触发器注入机制。通过将高密度纹理风格无缝融合到图像中,这种方法保持了视觉连贯性,同时与目标输出建立了强烈的关联。至关重要的是,为了超越简单的计数修改,我们引入了人群分布操纵(CDM)策略。该策略系统地扰动了人群的空间分布——转移焦点或制造人为拥堵。这种双管齐下的方法确保了攻击在视觉上不可察觉,并且在结构上对回归推理过程有害。如图1所示,在相同的标签修改策略下,风格-纹理触发器在四个关键方面优于基于天气的触发器:更好的隐蔽性、与被污染标签的更强关联、与干净图像的更清晰区分度以及更高的攻击有效性。
总之,本文的主要贡献如下:
1.我们提出了一种专门用于人群计数的新型风格-纹理触发器机制。通过利用模型的纹理偏见,该设计利用了模型对空间密度特征的敏感性,同时确保了与真实世界场景的视觉一致性,实现了高隐蔽性。
2.我们引入了一种人群分布操纵(CDM)策略,将攻击范式从全局计数回归转变为空间密度扭曲,揭示了密度估计模型中更深层次的结构漏洞。
3.我们开发了一个统一的后门攻击框架(AttackCC-CDM),并在多个基准数据集上验证了其有效性。广泛实验表明,我们的方法规避了最先进的防御措施,包括神经元剪枝[9]、微调[10]、输入净化[11]和后门检测[12]。
