QUICK REVIEW

[論文レビュー] Inevitable Encounters: Backdoor Attacks Involving Lossy Compression

Qian Li, Yunuo Chen|arXiv (Cornell University)|Mar 14, 2026

Digital Media Forensic Detection被引用数 0

ひとこと要約

論文は、劣化した画像圧縮が不可視のバックドアトリガを破壊し得ることを示し、ROIベースの戦略—LIC向け普遍的攻撃活性化（Universal Attack Activation for LICs）と圧縮適応攻撃（Compression-Adapted Attack, CAA）—を提示して圧縮を通じてトリガを保持する。

ABSTRACT

Real-world backdoor attacks often require poisoned datasets to be stored and transmitted before being used to compromise deep learning systems. However, in the era of big data, the inevitable use of lossy compression poses a fundamental challenge to invisible backdoor attacks. We find that triggers embedded in RGB images often become ineffective after the images are lossily compressed into binary bitstreams (e.g., JPEG files) for storage and transmission. As a result, the poisoned data lose its malicious effect after compression, causing backdoor injection to fail. In this paper, we highlight the necessity of explicitly accounting for the lossy compression process in backdoor attacks. This requires attackers to ensure that the transmitted binary bitstreams preserve malicious trigger information, so that effective triggers can be recovered in the decompressed data. Building on the region-of-interest (ROI) coding mechanism in image compression, we propose two poisoning strategies tailored to inevitable lossy compression. First, we introduce Universal Attack Activation, a universal method that uses sample-specific ROI masks to reactivate trigger information in binary bitstreams for learned image compression (LIC). Second, we present Compression-Adapted Attack, a new attack strategy that employs customized ROI masks to encode trigger information into binary bitstreams and is applicable to both traditional codecs and LIC. Extensive experiments demonstrate the effectiveness of both strategies.

研究の動機と目的

劣化した圧縮がバックドア攻撃に与える影響と、攻撃設計に圧縮を考慮する必要性を強調する。
劣化圏縮を生き残るための2つのROIベースバックドア戦略を提案する：学習画像圧縮（LIC）向けの普遍的攻撃活性化（Universal Attack Activation）と圧縮適応攻撃（CAA）。
複数のデータセット、バックボーン、コーデックに跨る広範な実験によって提案手法の有効性を示す。

提案手法

データがエンコードされ、二進ビットストリームとして伝送され、訓練のためにデコードされる圧縮パイプラインとしてバックドア汚染をモデル化する。
圧縮中の領域ごとのビットレートと歪みを制御するROI機能を用いて、トリガを保持する。
LICsについて：圧縮を通じてトリガ情報を再活性化または保護するためのサンプル依存のROIマスク M_res または周波数ベースのマスク M_freq を設計する。
従来のコーデックについて：伝送ビットストリームに高周波分布トリガを刻印し、法線のROImaskと組み合わせることで無害サンプルを保つ、圧縮対応ROIマスク M* を設計する。
2つの主要戦略を提示する：（i）LICs向けの普遍的攻撃活性化（Universal Attack Activation），高周波/重要領域へビットレートを再配分してトリガを回復する、（ii）圧縮適応攻撃（CAA），ROIを調整して高周波分布差異を介して全体的に見えないトリガを作る。
任意の統合ガイダンス：Spatial Feature Transform（SFT）はLICエンコーダへROIを組み込むことができ、ROIは伝統的コーデックでも直接使用される。

Figure 1 : Ineffectiveness of Backdoor Attacks. Left: Higher compression rates intensify image distortion, hindering backdoor injection. It suggests that compression severely damages invisible triggers. Right: Removing high-frequency components from poisoned test samples via Fast Fourier transform s

実験結果

リサーチクエスチョン

RQ1劣化した圧縮は既存の不可視バックドアトリガの効果と見えなさにどう影響するか？
RQ2ROIベースの戦略はLICsと従来のコーデックの圧縮データ中のトリガを保持・再活性化できるか？
RQ3現実的な圧縮パイプライン下で高い攻撃成功率を保ちながら見えなさを維持する圧縮対応のバックドア技術は存在するか？
RQ4提案手法は複数のデータセット、バックボーンモデル、コーデックに一般化できるか？

主な発見

劣化圧縮はしばしば既存の不可視バックドアを劣化させ、圧縮対応の攻撃を必要とする。
ROIを用いたLICs向けの普遍的攻撃活性化（Universal Attack Activation）により、劣化したトリガを再活性化しつつ見えなさを維持できる。
圧縮適応攻撃（CAA）は、多様なコーデックとモデルで無害な精度への影響を最小限に抑えつつ高い攻撃成功率を達成できる。
CAAは全-to-全および全-to-1の攻撃設定で強力な性能を示し、いくつかの防御および再圧縮に対して頑健性を示す。

Figure 2 : Overview. Red borders indicate poisoned samples, While green borders indicate benign samples. The first column outlines the process of data poisoning, which contains the inevitable compression process. The second column describes that the previously invisible method fails in real-world sc

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。