DRL-CLBA: A Clean Label Backdoor Attack for Speech Classification via DDPG Reinforcement Learning

📄 arXiv: 2607.01729 📥 PDF

作者: Yueming Huang, Wenhan Yao, Fen Xiao, Xiarun Chen, Weiping Wen

分类: cs.AI, cs.SD

发布日期: 2026-07-05


💡 一句话要点

提出DRL-CLBA以解决语音分类中的清标签后门攻击问题

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture)

关键词: 后门攻击 语音分类 深度学习 强化学习 音频隐写术 模型安全 脆弱性分析

📋 核心要点

  1. 现有的语音分类模型容易受到后门攻击,尤其是依赖污染标签的样本特定攻击,容易被检测。
  2. 本文提出DRL-CLBA,通过DDPG强化学习实现清标签后门攻击,利用深度音频隐写术嵌入触发器。
  3. 实验结果显示,DRL-CLBA在多个数据集上表现出高攻击成功率,能够有效绕过多种后门防御机制。

📝 摘要(中文)

深度学习模型在语音分类任务中容易受到后门攻击,恶意触发器会导致推理时的错误分类。现有的样本特定攻击往往依赖于污染标签攻击,容易被手动数据防御检测到。本文提出了一种新颖的清标签后门攻击方法DRL-CLBA,该方法利用深度确定性策略梯度(DDPG)强化学习,并结合深度音频隐写术将样本特定的触发器嵌入源音频中,创建特征空间锚点。实验结果表明,DRL-CLBA在三个数据集和四种不同的深度神经网络上实现了高攻击成功率,有效绕过了一些后门防御,暴露了语音控制系统中的关键脆弱性。

🔬 方法详解

问题定义:本文旨在解决语音分类模型在面对后门攻击时的脆弱性,现有方法多依赖污染标签,容易被检测和防御。

核心思路:提出DRL-CLBA,通过强化学习优化目标样本,使其向触发器锚点迁移,从而实现无标签迁移的样本污染。

技术框架:该方法包括两个主要模块:首先是深度音频隐写术用于嵌入触发器,其次是DDPG强化学习框架用于优化样本向锚点的迁移。

关键创新:DRL-CLBA的创新在于利用强化学习实现清标签后门攻击,避免了传统方法的标签污染问题,提升了攻击的隐蔽性。

关键设计:在设计中,采用了特定的损失函数来优化样本的迁移,同时选择了适合的网络结构以提高模型对触发器的敏感性。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,DRL-CLBA在三个数据集上实现了超过90%的攻击成功率,显著高于传统后门攻击方法,并有效绕过了多种防御机制,如微调、剪枝和频谱特征防御。

🎯 应用场景

该研究的潜在应用领域包括语音识别、语音助手和其他依赖语音输入的智能系统。通过揭示语音分类模型的脆弱性,研究为提升系统安全性提供了重要参考,未来可用于开发更为鲁棒的防御机制。

📄 摘要(原文)

Deep learning models for speech classification are vulnerable to backdoor attacks, where malicious triggers cause misclassification at inference time. While sample-specific attacks can bypass many defenses, they often rely on poisoned label attack, making them detectable via manual data defense. In this paper, we propose DRL-CLBA, a novel clean label backdoor attack for speech classification that leverages Deep Deterministic Policy Gradient (DDPG) reinforcement learning. We also utilize deep audio steganography to embed sample-specific triggers into source audio, creating feature-space anchors. The proposed reinforcement learning framework effectively optimizes target samples toward trigger-bearing anchor points in the model's deep latent space, enabling label-migration-free poisoning of target samples. Experimental results across three datasets and four different DNNs demonstrate that DRL-CLBA achieves a high attack success rate, effectively bypassing some backdoor defenses. The attack demonstrates strong resistance against fine-tuning, pruning, and spectral signature defenses, exposing critical vulnerabilities in speech-controlled systems.