放大/缩小敌方攻击!
三个要点
✔️ 在不改变物体特征的情况下使用放大/缩小的方法来欺骗DNN
✔️ 唯一不添加对抗性扰动的对抗性攻击方法
✔️ 敌对训练提供了关于如何防御所提出的方法的攻击的指导方针。
Adversarial Zoom Lens: A Novel Physical-World Attack to DNNs
written by Chengyin Hu, Weiwen Shi
(Submitted on 23 Jun 2022)
Comments: Published on arxiv.
Subjects: Cryptography and Security (cs.CR); Artificial Intelligence (cs.AI); Computer Vision and Pattern Recognition (cs.CV); Machine Learning (cs.LG)
code:
本文所使用的图片要么来自论文、介绍性幻灯片,要么是参考这些图片制作的。
研究背景和概述
欺骗DNN的攻击被称为对抗性攻击。大多数对抗性攻击通过向图像添加人类无法感知的扰动来欺骗分类器。然而,在物理场景中,细微的噪音是摄像机看不到的,因为摄像机拍摄的图像是输入到分类器中进行分类的。
有形的敌意攻击带来了以下挑战
- 印刷后难以捕捉到细小的数字错误
- 难以完美打印敌意扰动(打印损失)。
- 难以平衡攻击的稳健性和隐蔽性
鉴于这些挑战,作者提出了一种新的物理对抗性攻击,称为Advversarial Zoom Lens(AdvZL),它从根本上解决了上述物理对抗性攻击的困难,因为不存在物理扰动。
上图显示了所提方法在物理环境中的攻击示意图。自动驾驶汽车的摄像头上有一个自动变焦镜头,允许汽车在经过路标时放大和缩小,从而欺骗了先进的DNN。
作者的贡献。
作者的主要贡献可归纳为三个主要方面
- 提出了AdvZL,一种通过操纵变焦镜头实现无物理干扰的物理敌对攻击的技术。
- 建立一个数据集,以验证放大的图像可以骗过DNN。
- 数字和物理测试验证了AdvZL
建议的方法
数据集的生成(数字环境中的攻击)。
要放大,从外框中偷看N个像素宽,然后调整到原始尺寸,如下图所示。
作者提出的攻击样本数据集来自Imagenet,他们称之为Imagenet-ZOOMIN(Imagenet-ZI)。对于Imagenet图像,每张图像的缩放系数为10个步骤来创建数据集,N个像素设置在6到60个像素之间,间隔为6个像素。
变焦镜头攻击(在物理环境中)
在数字环境中,通过让Imagenet-ZOOMIN对DNN进行分类,测试了所提方法的有效性。在物理环境中,照片是由一个变焦镜头缩放的。
在物理环境中产生敌意的样本包括以下步骤
- 通常情况下,图像X被按不同程度放大或缩小,分类器f对标签Y的信心得分最低的图像是敌对样本的候选者。
- 如果一个候选的敌意样本能够骗过分类器,它就会输出敌意样本
这个程序被用来产生一个敌对的样本,因为欺骗取决于分类器的阈值。
实验
AdvZL评级。
AdvZL的有效性在Imagenet-ZI数据集上进行了测试,该数据集包含数字环境中的500 000个对抗性样本。下表显示了DNN在Imagenet-ZI数据集上的分类精度。
该表显示,随着缩放系数的增加,所有DNN的准确性都在下降。这表明,图像的语义特征保持不变,随着图像缩放系数的增加,对DNN的攻击变得更强。这也揭示了DNN的一个不足之处。这些分类器是在一个以特定距离拍摄的照片数据集上训练出来的。图像放大的过程可以看作是摄影师和被摄者之间距离的减少,所以当图像距离发生变化时,分类区域很可能做出错误的分类决策。
接下来,审查了物理环境中的评价。下图显示了一个物理环境中的敌对样本的例子和当时的预测结果。
从图中可以看出,当图像被放大时,敌对样本欺骗了分类器。例如,如果一个路牌被放大到手机摄像头焦距的1.3倍,分类器就会把它误解为一个信号。
考虑
模型衰减
CAM被用来检查模型对敌对样本的注意力显示图。结果如下图所示。
从图中可以看出,随着图像的不断放大,模特的专注力逐渐减弱。
辩护
对于对抗性训练,由AdvZL产生的对抗性样本被添加到训练课程中,以提高模型的鲁棒性。这个过程的分类结果显示在下图中。
黄色是没有对抗性训练的情况,绿色是有对抗性训练的情况。图中显示,无论缩放系数如何,对抗性训练都能显著提高模型的准确性。
摘要
在本文中,我们提出了AdvZL,一种用于生成对抗性样本的新型物理对抗方法。在不使用对抗性扰动的情况下生成对抗性样本是新的,所以这个方向的研究很有意思。
与本文相关的类别
