1、Adversarial camera stickers: A physical camera-based attack on deep learning systems
这篇论文讲的主要指在相机镜头上贴噪声,使其在一个类别上的所有图像都失效,优化函数遵循之前的结果,即max(真实类别的交叉熵-指定类别的交叉熵),对于非目标攻击,只要max真实类别的交叉熵即可。对于通用噪声,只需要在一系列图片上满足上述优化即可。
问题就在与怎么优化这个噪声,直观的想法是直接把这个噪声优化,然后贴到相机上去。但是有一个问题,贴上去之后镜头的捕获能力好像和正常图片不一样,大概涉及到的是一个聚焦问题。也就是说要考虑一个小圆点放在镜头上的近似效果,在手机摄像头上实现,一个小黑点是会被晕染成一大块透明黑,关键步骤就在于如何构建镜头上的点的晕染/成像过程,作者的意思是确立中心点和半径,远离中心点越透明,即下面的公式,只要这个建模完成了,就可以做到可微分,然后在进行噪声更新。
剩下的问题就是优化噪声,这个过程中需要优化的参数主要是center location
x
(
i
c
,
j
c
)
x(i^c,j^c)
x(ic,jc), color
γ
\gamma
γ,
α
m
a
x
\alpha_{max}
αmax,
β
\beta
β and radius
r
r
r。作者先用50个点来拟合
α
m
a
x
\alpha_{max}
αmax,
β
\beta
β and radius
r
r
r,给出数字世界的颜色,也可以拟合出物理世界中的颜色。最后就只剩下中心点位置以及颜色没有确定,其中中心点的位置划分成45*45个格子,颜色有10种,利用贪心算法求解(没有看懂)
2、The Translucent Patch: A Physical and Universal Attack on Object Detectors
这篇文章解决了贪心算法确定位置和 颜色的问题,运用放射变换使位置可微,从而直接求导解决
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
