超级会员免费看
毫米波人体活动识别系统对抗攻击研究
1. 扰动幅度的影响
在对抗攻击研究中,最小化对抗扰动的影响并创建与原始样本高度相似的对抗活动样本十分重要,主要原因如下:
- 隐蔽性需求 :在敌对环境中,需巧妙改变活动样本,使扰动几乎不可检测,同时保留原始样本的固有属性。因为明显的变化可能会暴露攻击的存在。
- 凸显系统脆弱性 :尽管在识别系统中导致错误分类,但要从人类角度保留活动的原始分类,这凸显了人类和人体活动识别(HAR)模型感知之间的差异,揭示了HAR系统的脆弱性。
为了最小化扰动的幅度,研究中对L₂范数上限进行了优化。具体操作步骤如下:
1. 为每个活动样本设置一个动态阈值,以保证扰动的有效性并提高其生成效率。
2. 对于特定样本,计算该样本与同一类型活动的所有其他可用样本之间的平均L₂范数上限,并将此值用作扰动生成阈值。
1.1 无目标攻击
对基于体素的数据集进行无目标攻击时,所有5个原始类别的无目标对抗样本的中位数L₂范数上限低于10,最大L₂范数上限值均低于30,远低于约40 - 50的平均阈值。对于基于热图的数据集,对抗样本和原始样本之间的中位数L₂范数约为2000 - 2500。针对特定锻炼(w4)的对抗样本由于原始热图的高特异性特征,L₂范数分布相对较高,但最高L₂范数仍低于4000,远低于w4约14000的平均阈值。
1.2 有目标攻击
在基于体素的数据集上进行有目标攻击时,针对所有5个目标类别的样本的中位数L₂范数约为20。与无目标攻击相比,所有5个类别的最大L₂范数上限值显著增加,这
订阅专栏 解锁全文
扫一扫
346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
