WWW 2025 | 重新审视频域中时间序列分类的后门攻击-CSDN博客

本文链接：https://blog.csdn.net/2501_91070801/article/details/146476141

导读：

时间序列分析在现代Web应用中发挥着至关重要的作用，为金融数据分析、网络流量监测、用户行为建模等任务提供核心支持。近年来，深度神经网络（DNN）大幅提升了时间序列分类模型的性能。然而，现有研究表明，深度神经网络易受后门攻击，攻击者可通过注入隐蔽触发器操纵模型预测，诱导其产生异常行为。目前，尽管计算机视觉（CV）和自然语言处理（NLP）领域中的后门攻击研究已较为成熟，但针对时序分类模型的相关研究仍面临挑战。

本文介绍了复旦大学白泽智能（Whizard AI）实验室的最新研究成果。该研究通过频域分析，揭示了现有时序后门攻击低效的原因，并提出了一种基于频域的增强型攻击，在多种下游任务和模型上均取得优于现有SOTA攻击方法的表现。目前该工作已被交叉综合领域顶会 WWW 2025录用。

当下，【时域和频域分析】已成为时间序列领域的关键工具，频域相关研究在顶级学术会议上也备受瞩目。为助力同学们学习和研究，我精心整理了【12种】创新结合方案，还附上了原文和开源代码，方便大家学习参考，也欢迎大家分享给身边的朋友！

感兴趣的可以 [丝 xin] 我~~

在这里插入图片描述

【论文标题】Revisiting Backdoor Attacks on Time Series Classification in the Frequency Domain

【论文链接】[2503.09712] Revisiting Backdoor Attacks on Time Series Classification in the Frequency Domain

研究背景

在这里插入图片描述

深度神经网络（DNN）表现出色，但其学习复杂模式的能力也使其容易受到后门攻击。作为 DNN 的一种严重安全威胁，后门攻击通常由受委托训练模型或提供预训练模型或网络服务的恶意第三方实施。作为攻击者，可以设计特定的触发器并将其添加到干净的训练样本中以形成中毒样本。如图所示，训练过程将触发器与其目标标签之间的关联嵌入到模型中。在推理过程中，攻击可以通过激活触发器使模型生成预期的预测，而不管原始样本如何。

尽管计算机视觉（CV）和自然语言处理（NLP）领域中的后门攻击研究已较为成熟，但针对时序分类模型的相关研究仍面临挑战：1）早期方法直接借鉴CV领域的触发器设计，但在时序数据上攻击成功率有限；2）而近期基于生成式模型和遗传算法的方法虽然提升了攻击效果，却引入了显著的计算开销，限制了其实用性。

核心贡献

本研究致力于解决上述两个挑战。贡献可总结如下：

1）首次从频率域的角度分析了针对 TSC 模型的后门攻击。我们发现现有攻击的触发设计与频率热图所指示的模型敏感度不一致。

2）借助对 TSC 模型和后门攻击在频率域内在机制的更深入理解，提出了 FreqBack，这是一种由频率热图引导的有效且高效的后门攻击方法。

3）在八个数据集上的五个模型的大量实证结果验证了 FreqBack 显著提高了针对 TSC 模型的后门攻击性能。例如，在所有数据集上，平均攻击成功率提高到超过 90%，而对干净分类准确率的影响不到 3%。

方法解析

本研究从深度神经网络在时间序列数据中捕捉频率特征的机制出发，深入剖析现有时序后门攻击方法低效的根源，并提出了一种基于频域的增强型后门攻击方法。

后门攻击频域分析

团队首先通过计算频率热力图量化不同频带对分类任务的影响（敏感度），进而分析后门攻击触发器的扰动在频域空间中的分布特性。研究发现，若触发器扰动的频带未对齐模型最敏感的频段（即频域扰动不当），攻击将难以生效。如下图以BiRNN模型为例，模型的敏感频段集中于低频区域（两端），baseline攻击方法所扰动的频段则相对位于中高频，从而导致攻击效果不佳。在这里插入图片描述

频域后门攻击方案流程

基于上述发现，团队提出了一种基于频率分析的触发器优化策略，确保后门攻击能够在模型最敏感的频段内施加隐蔽且有效的扰动。具体而言，团队设计了包含如下三阶段的后门攻击流程：

频域敏感性分析：将时序数据转换至频域，并计算模型对不同频带扰动的敏感度，得到频率热力图。
最优触发器生成：基于频域热力图与时间域扰动范数等正则化约束，生成精准针对模型最敏感频段的触发器。
模型微调：使用带有触发器的投毒数据与正常数据混合训练模型，并循环执行上述过程以优化攻击效果。

在这里插入图片描述

实验验证

本研究验证了包含股价预测、健康监测、工业设备监控等在内的8种下游任务，并考虑5种主流模型架构。指标中，ASR 是被正确预测为目标标签的中毒样本的比例，而 ACC 是被正确预测为真实标签的干净样本的比例。较高的 ASR 反映了较高的攻击效果；较高的 ACC 表明后门具有隐蔽性。在这里插入图片描述上图为攻击方法在ElectricDevices数据集上的攻击成功率与模型分类准确率。结果表明，本研究提出方法具有优异的后门攻击性能，在取得近100%攻击成功率的情况下，对正常数据的分类准确率下降不到3%。

在这里插入图片描述上图可视化结果表明，本方法能有效扰动模型最敏感的频段，显著区别于现有攻击方法。

在这里插入图片描述同时，本方法引入的频域分析技术可通过梯度优化，且不引入额外模型参数，相比现有攻击方法计算开销显著降低。

总结

在这项工作中，我们首次在频域中分析了针对实值时间序列分类（TSC）模型的后门攻击。通过所提出的频率热图，我们发现现有的攻击生成的触发器与模型的敏感度不匹配，因而效果不佳。为了解决这个问题，我们引入了一种新的频域触发器初始化和优化目标。经过迭代训练，我们的频域后门攻击攻击超越了基线攻击，并且能够抵御经过调整的防御措施。我们希望这项工作能够激发对 TSC 模型中后门攻击和防御的进一步研究。未来的工作包括探索模型结构与频率热图之间的联系，这可能有助于推进针对实值数据和高维序列（如视频和音频）的模型设计与训练。我们还认为，将频域分析纳入其中有助于增强后门攻击的防御能力。