Backdoor Attacks against No-Reference Image Quality Assessment Models via a Scalable Trigger

要約

参照なし画像品質評価 (NR-IQA) は、参照を使用せずに単一の入力画像の品質を評価する責任を負い、低照度強調などのコンピューター ビジョン システムの評価と最適化において重要な役割を果たします。
最近の研究によると、NR-IQA モデルは敵対的攻撃の影響を受けやすく、視覚的に知覚できない摂動によって予測スコアが大幅に変更される可能性があります。
脆弱性が明らかになったにもかかわらず、これらの攻撃方法には、高い計算量の要求、対象外の操作、ホワイトボックス シナリオでの実用性の制限、ブラックボックス シナリオでの有効性の低下などの制限があります。
これらの課題に対処するために、私たちは焦点を別の重大な脅威に移し、NR-IQA (BAIQA) に対する新しいポイズニング ベースのバックドア攻撃を提示します。これにより、攻撃者はスケーリング係数を調整するだけで、IQA モデルの出力を任意の目標値に操作できるようになります。
トリガーの $\alpha$。
広く採用されているデータ拡張による NR-IQA モデルのトリガー減少に対抗するために、トリガーの局所的不変性を改善するために、離散コサイン変換 (DCT) ドメインにトリガーを注入することを提案します。
さらに、DCT 空間の普遍的敵対的摂動 (UAP) がトリガーとして設計されており、IQA モデルの操作に対する感受性が高まり、攻撃の有効性が向上します。
毒物ラベル BAIQA (P-BAIQA) のヒューリスティック手法に加えて、明らかにした理論的洞察に基づいて、$\alpha$ サンプリングと画像データの改良に焦点を当て、クリーンラベル BAIQA (C-BAIQA) の設計を探索します。
。
多様なデータセットとさまざまな NR-IQA モデルに対する広範な実験により、攻撃の有効性が実証されました。
コードは https://github.com/yuyi-sd/BAIQA で見つけることができます。

要約(オリジナル)

No-Reference Image Quality Assessment (NR-IQA), responsible for assessing the quality of a single input image without using any reference, plays a critical role in evaluating and optimizing computer vision systems, e.g., low-light enhancement. Recent research indicates that NR-IQA models are susceptible to adversarial attacks, which can significantly alter predicted scores with visually imperceptible perturbations. Despite revealing vulnerabilities, these attack methods have limitations, including high computational demands, untargeted manipulation, limited practical utility in white-box scenarios, and reduced effectiveness in black-box scenarios. To address these challenges, we shift our focus to another significant threat and present a novel poisoning-based backdoor attack against NR-IQA (BAIQA), allowing the attacker to manipulate the IQA model’s output to any desired target value by simply adjusting a scaling coefficient $\alpha$ for the trigger. We propose to inject the trigger in the discrete cosine transform (DCT) domain to improve the local invariance of the trigger for countering trigger diminishment in NR-IQA models due to widely adopted data augmentations. Furthermore, the universal adversarial perturbations (UAP) in the DCT space are designed as the trigger, to increase IQA model susceptibility to manipulation and improve attack effectiveness. In addition to the heuristic method for poison-label BAIQA (P-BAIQA), we explore the design of clean-label BAIQA (C-BAIQA), focusing on $\alpha$ sampling and image data refinement, driven by theoretical insights we reveal. Extensive experiments on diverse datasets and various NR-IQA models demonstrate the effectiveness of our attacks. Code can be found at https://github.com/yuyi-sd/BAIQA.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google