Backdoor attack was introduced that previously inserts a backdoor on a medical machine learning model and manipulates the result at the attacker’s will at test time. However, previous attacks must poison a large amount of a training dataset, and the attackers must investigate the characteristics of the data in advance. This paper performs a backdoor attack that only modifies the missing pattern of EHR. The missing pattern based backdoor attack enables to perform the attack with a smaller poisoning proportion of the training dataset and without any prior information of the data, which reduces the likelihood of detection. Experimental results on four ML models (LR, MP, LSTM, and GRU) that predict in-hospital mortality using the MIMIC-III dataset showed that the proposed technology achieves attack success rates of 97–99% with a poisoning proportion of less than 2%. Furthermore, the classification accuracy of clean EHR data was substantially comparable to the non-contaminated model, demonstrating the efficacy of the attack.
전자 건강 기록 (EHRs)을 사용하여 환자의 미래 상태를 예측하는 의료 머신러닝 모델의 등장에 뒤이어, 해당 모델에 백도어를 삽입하여 공격자의 의지대로 예측 결과를 조작할 수 있는 백도어 공격이 소개되었다. 하지만 이전 공격은 많은 양의 학습 데이터를 오염시켜야 하며, 데이터의 특성을 사전에 조사해야 하는 어려움이 존재한다. 이 논문에서는, EHR의 메타데이터만을 변형하여 모델에 백도어 공격을 실시한다. 메타데이터를 사용한 기법은 데이터의 특성을 고려하지 않고도 더 적은 오염 비율로 백도어 공격을 가능하게 하며, 이는 공격의 발각 가능성이 낮춘다. MIMIC-III 데이터베이스를 사용하는 병원 내 환자 사망 예측 모델(Linear Regression, Multilayer Per-ceptron, Long Short-term Memory, Gated Recurrent Units)에 대하여 우리의 공격 기법을 실험한 결과 전체 학습데이터의 2% 미만을 오염시킨 것으로 약 97~99%의 공격 성공률을 달성할 수 있음을 확인할 수 있었다.