Backdoor Attacks Against Deep Image Compression via Adaptive Frequency Trigger

要約

最近の深層学習ベースの圧縮方法は、従来のアプローチと比較して優れたパフォーマンスを実現しています。
ただし、ディープ ラーニング モデルはバックドア攻撃に対して脆弱であることが証明されており、特定のトリガー パターンが入力に追加されると、モデルが悪意のある動作につながる可能性があります。
この論文では、学習した画像圧縮モデルに対する複数のトリガーを使用した新しいバックドア攻撃を紹介します。
既存の圧縮システムと標準で広く使用されている離散コサイン変換 (DCT) に動機付けられて、DCT ドメインにトリガーを追加する周波数ベースのトリガー注入モデルを提案します。
具体的には、次のようなさまざまな攻撃シナリオに対して、いくつかの攻撃目標を設計します。
2) ダウンストリームの顔認識やセマンティック セグメンテーションなど、タスク主導の対策への攻撃。
さらに、新しい単純な動的損失は、さまざまな損失項の影響を適応的にバランスさせるように設計されており、より効率的なトレーニングの実現に役立ちます。
広範な実験により、トレーニング済みのトリガー注入モデルと (圧縮モデルの) エンコーダー パラメーターの単純な変更により、提案された攻撃が単一の画像圧縮モデルに対応するトリガーを使用して複数のバックドアを正常に注入できることが示されました。

要約(オリジナル)

Recent deep-learning-based compression methods have achieved superior performance compared with traditional approaches. However, deep learning models have proven to be vulnerable to backdoor attacks, where some specific trigger patterns added to the input can lead to malicious behavior of the models. In this paper, we present a novel backdoor attack with multiple triggers against learned image compression models. Motivated by the widely used discrete cosine transform (DCT) in existing compression systems and standards, we propose a frequency-based trigger injection model that adds triggers in the DCT domain. In particular, we design several attack objectives for various attacking scenarios, including: 1) attacking compression quality in terms of bit-rate and reconstruction quality; 2) attacking task-driven measures, such as down-stream face recognition and semantic segmentation. Moreover, a novel simple dynamic loss is designed to balance the influence of different loss terms adaptively, which helps achieve more efficient training. Extensive experiments show that with our trained trigger injection models and simple modification of encoder parameters (of the compression model), the proposed attack can successfully inject several backdoors with corresponding triggers in a single image compression model.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google