這篇文章獲選 Neurips 2024 Spotlight，作者均來自于伊利諾伊大學香檳分校計算機系。第一作者是博士生林嘯，指導老師是童行行教授。所在的 IDEA 實驗室的研究興趣涵蓋圖機器學習、可信機器學習、LLM 優(yōu)化以及數(shù)據(jù)挖掘等方面。 

• 論文鏈接：https://arxiv.org/pdf/2410.02195
• github 鏈接: https://github.com/xiaolin-cs/backtime
• neurips 主頁: https://neurips.cc/virtual/2024/poster/95645

多變量時間序列（MTS）預測任務(wù)在現(xiàn)實世界中有著廣泛的應(yīng)用，例如氣象預測、交通預測等。而深度學習模型在這一任務(wù)上展現(xiàn)了強大的預測能力。

然而，大量文獻表明，在分類任務(wù)中，深度學習模型非常容易被后門攻擊從而給出錯誤的分類結(jié)果。因此，自然的想到，當面對適用于時間序列預測的深度學習模型時，后門攻擊是否依然可以操縱預測結(jié)果？

為了回答這個問題，本文首次全面地定義了時間序列預測的后門攻擊范式，并進而提供了對應(yīng)的雙層優(yōu)化數(shù)學模型。在此基礎(chǔ)上，本文提出了模型無關(guān)的 BackTime 攻擊方法，旨在通過改變時間依賴（temporal dependency）和跨變量依賴（inter-variable dependency）來影響被攻擊模型的預測結(jié)果。

實驗表明，通過 BackTime，攻擊者可以隱蔽地操縱預測模型，強制要求模型輸出任意形狀的預測結(jié)果。這種全新的攻擊范式揭示了預測（回歸）任務(wù)中深度學習訓練的潛在不安全性。

時間序列預測的后門攻擊范式

傳統(tǒng)的后門攻擊針對圖像 / 文本分類任務(wù)，無論是從數(shù)據(jù)特性到任務(wù)類型都和時間序列預測全然不同。所以傳統(tǒng)的后門攻擊無法適用于時間序列預測。因此，我們在此開創(chuàng)性地提出時間序列預測的后門攻擊目標，并進而列出時間預測后門攻擊的多條重要特性。

時間序列后門攻擊目標：被攻擊模型在面對干凈輸入的時候提供正常的預測結(jié)果，但是如果輸入中包含了觸發(fā)器（trigger），那么被攻擊模型就會輸出攻擊者預先定義的結(jié)果。這個攻擊者自定義的結(jié)果被稱為目標模式（target pattern）。 

時間序列預測的后門攻擊特性：

• 實時性。在對 t 時刻進行攻擊的時候，觸發(fā)器形狀必須要在 t 時刻之前就預先決定。其原因是，時間序列預測只關(guān)心 “未知的未來”，而不關(guān)心 “已知的過去”，一旦時刻 t 到來，那么它就變成 “已知的過去”，對這個時刻的攻擊也就毫無意義。
  
  
• 攻擊目標的約束性。由于回歸任務(wù)沒有標簽，因此目標模式和觸發(fā)器一樣直接嵌入訓練集中。這就要求目標模式也滿足隱蔽性要求。
  
  
• 軟定位。預測任務(wù)的輸入是從訓練集中截取的一部分時間窗口，因此，輸入可能只含有部分觸發(fā)器和目標模式。在這種情況下，如何定義輸入是否被攻擊是一個難點。 

雙層優(yōu)化數(shù)學模型

為了滿足上述所有特性，論文作者提出了如下雙層優(yōu)化模型。攻擊者將觸發(fā)器 g 和目標模式 p 嵌入到訓練集中，得到了被污染數(shù)據(jù)集。

因此，下層優(yōu)化希望找出在被污染數(shù)據(jù)集上訓練的局部最優(yōu)模型，其參數(shù)為。而上層優(yōu)化則更新嵌入在數(shù)據(jù)集  中的觸發(fā)器 g，從而降低模型的預測結(jié)果和目標模式的差異。

其中，是對時刻 的軟定位機制，衡量了時刻輸入的被污染程度。具體來說，我們定義只有當輸入中包含全部觸發(fā)器，后門攻擊才會起效。而在剛起效的時候攻擊效果最強。隨著未來中需要預測的目標模式長度逐漸降低，攻擊效果逐漸減弱。 

BackTime 后門攻擊

論文中提出了針對時間序列預測的后門攻擊方法 BackTime。它成功解決了何處攻擊、何時攻擊、如何攻擊三個關(guān)鍵問題。

• 何處攻擊：基于前文的攻擊范式，攻擊者可以隨意選擇想要攻擊的變量，而后門攻擊依然成功。
• 何時攻擊：將訓練集中的數(shù)據(jù)按照干凈模型的預測 MAE 從小到大（圖上從左到右）分成十組。這十組數(shù)據(jù)對于干凈模型的學習難度逐步提升。論文作者使用簡易的后門攻擊（固定的觸發(fā)器）來分別攻擊這十組數(shù)據(jù)。

結(jié)果顯示，MAE 越大的數(shù)據(jù)，后門攻擊效果越好（MAE Difference 越低）。這說明，干凈模型越難學習的樣本越容易被攻擊。因此，論文作者從數(shù)據(jù)集中選擇干凈 MAE 最高的數(shù)據(jù)實施攻擊。

• 如何攻擊：首先，將變量之間的關(guān)聯(lián)建模成有權(quán)鄰接矩陣 A。

然后，使用 GCN 作為觸發(fā)器生成器，并將生成的觸發(fā)器縮放，以滿足約束。 

在定義了觸發(fā)器生成器的模型結(jié)構(gòu)后，需要在雙層優(yōu)化中訓練。和傳統(tǒng)的后門攻擊一樣，在優(yōu)化過程中引入代理模型，并迭代更新代理模型和觸發(fā)器生成器，從而獲得局部最優(yōu)的觸發(fā)器生成器。

（1）在更新代理模型的時候，提高其在數(shù)據(jù)集  的預測能力以模擬正常訓練：

（2）在更新觸發(fā)器生成器的時候，通過改變生成的觸發(fā)器來降低模型預測結(jié)果和目標模式的差異：

論文作者進一步引入了頻率正則損失來提高生成的觸發(fā)器的隱蔽性：

最終，在雙層優(yōu)化中被用于更新觸發(fā)器生成器的損失函數(shù)被表示為：

實驗評估

攻擊有效性衡量

在 5 個數(shù)據(jù)集上，BackTime 可以對三種完全不同的 SOTA 時間序列分析模型實現(xiàn)有效的攻擊（最低的），并同時保持這些模型的正常預測能力（較低的）。這展現(xiàn)了 BackTime 模型無關(guān)的特性，并同時說明了其強大的攻擊效果。

目標模式多樣性衡量

論文作者使用了三種完全不同的目標模式，并觀察 BackTime 的攻擊效果。結(jié)果顯示，BackTime 持續(xù)性取得最好的攻擊表現(xiàn)（最低的和）。 

隱蔽性衡量

論文作者使用兩種 SOTA 的時間序列異常檢測模型來尋找被攻擊數(shù)據(jù)集中的觸發(fā)器和目標模式。結(jié)果顯示，異常檢測模型的結(jié)果無比接近于隨機猜測，從而證明了觸發(fā)器和目標模式的分布和真實數(shù)據(jù)的分布極為相似，證實了 BackTime 的隱蔽性。 

持續(xù)研究和可行方向

時間序列預測的后門攻擊是新興的領(lǐng)域，存在很多探索的方向。我們在這里提供一些思路。除了在追求更高效和隱蔽的觸發(fā)器之外，還有以下攻擊問題沒有解決。

首先，能否后門攻擊時間序列缺失值推理任務(wù)（time series imputation）。當前的 BackTime 利用觸發(fā)器和目標模式的順序時間鏈接來實現(xiàn)攻擊。但是推理任務(wù)需要同時考慮缺失值之前和之后的數(shù)據(jù)，這提出更難的攻擊挑戰(zhàn)。

其次，能否攻擊包含缺失值的時間序列。BackTime 的觸發(fā)需要包含全部觸發(fā)器，因此很難處理帶有缺失值的時間序列。