发表位置:Pattern Recognition
发表时间:2021
摘要
深度学习在处理复杂和专业的任务方面显示出了优越性,如计算机视觉、音频和语言处理等任务。然而,当前的研究工作已经证实深度神经网络(DNNs)很容易受到精心设计的对抗性干扰,这会导致DNNs在处理特定任务时产生混乱。在目标检测领域中,背景对目标分类的贡献很小,在背景中加入对抗扰动不会改善对抗样本欺骗深度神经检测模型的效果,但在生成对抗样本时会产生大量的失真。
作者提出了Adaptive Object-oriented Adversarial Method (AO2AM)方法。
背景
深度神经网络(DNNs)在处理复杂和专业的任务中显示出了巨大的优势。例如,在图像分类领域,深度神经模型在图像分类方面表现优异。由Facebook Research提出的FixResNext在imagenet上top-1准确率为86.4%,这是针对imagenet最先进的分类结果。 xxx(列举目前最先进的分类方法),然而,最近的研究显示,dnn很容易受到精心设计的对抗例子的攻击,这些例子是由对抗攻击策略组装的。生成的对抗样本可以愚弄深度神经网路产生负面效果,例如,错误分类、无效的位置和错误的翻译。
对抗攻击新解释
对抗性攻击的本质是寻找难以察觉的扰动生成对抗样本,并保证生成的对抗样本与原始样本视觉上相同,但两个样本在对应潜在空间的表示上不同。
决策边界寻找问题
针对特定任务对多个神经网络发起对抗攻击是为了寻找靠近决策边界生成对抗样本的扰动。作者注意到在发起针对DNN的对抗攻击过程中,基于梯度的迭代对抗攻击方法能够将网络参数学习的很好,找到愚弄DNN的决策边界。然而,在对抗攻击过程中,由于迭代策略尝试尽可能地拟合深度神经网络的参数,因此,针对梯度累加的the greedy stable size可能会导致过拟合问题。此外,在黑盒攻击策略中,基于迭代梯度的攻击方法不能完全访问网络结构和相关参数。这意味着在这样的条件下,基于迭代梯度下降的对抗攻击方法可能无法产生有效的对抗扰动。这种产生的扰动不能驱使所设计的对抗样本的表示始终接近潜在空间中的决策边界。此外,对梯度积累具有周期性更新率的对抗攻击方法会导致生成的对抗样本产生大量失真。根据经验,对抗性策略应该调整添加到输入中的精心设计的扰动的强度水平,以减少生成的对抗样本失真.
方案
(1) 扰动生成方法
g i = ∇ x J ( θ , x i , f ( x i ) ) 2 {g_i} = {\nabla _x}J{(\theta ,{x_i},f({x_i}))^2} gi=∇xJ(θ,xi,f(xi))2
x i ∗ = x i + ε ∗ ∇ x J ( θ , x i , f ( x i ) ) g i + δ x_i^* = {x_i} + \varepsilon *\frac{{{\nabla _x}J(\theta ,{x_i},f({x_i}))}}{{\sqrt {{g_i} + \delta } }} xi∗=xi+ε∗gi+δ∇xJ(θ,xi,f(xi))
(2)损失函数定义
J ( Q , P , f , x i , v i ) = : − ∑ i = 1 n P ( f ( x i ) ) ∗ Q ( log ( f ( x i + v i ) ) ) + S I S E M S E ( x i + v i , x i ) J(Q,P,f,{x_i},{v_i}) = : - \sum\limits_{i = 1}^n {P(f({x_i}))} *Q(\log (f({x_i} + {v_i}))) + \frac{{{S_I}}}{{{S_E}}}MSE({x_i} + {v_i},{x_i}) J(Q,P,f,xi,vi)=:−i=1∑nP(f(xi))∗Q(log(f(xi+vi)))+SESIMSE(xi+vi,xi)
其中, g i {g_i} gi表示关键自适应因素, P P P和 Q Q Q表示两种分布, S I {S_I} SI表示the perturbed integrated region, S E {S_E} SE表示the area of the original input,MSE表示均方误差。
数据集
Pascal VOC
MS COCO
对比指标
At- tack Success Rate (ASR),
SSIM,
Mean Attack Ratio (MAR)
对比模型
Faster-RCNN [1] ,
SSD [2]
YOLO-v3 [3]
参考文献
[1] S. Ren , K. He , R.B. Girshick , J. Sun , Faster R-CNN: towards real-time object de- tection with region proposal networks, IEEE Trans. Pattern Anal. Mach. Intell. 39 (2015) 1137–1149 .
[2] W. Liu , D. Anguelov , D. Erhan , C. Szegedy , S.E. Reed , C.-Y. Fu , A.C. Berg , SSD: single shot multibox detector., in: ECCV (1), in: Lecture Notes in Computer Sci- ence, 9905, Springer, 2016, pp. 21–37 .
[3] J. Redmon , S.K. Divvala , R.B. Girshick , A. Farhadi , You only look once: unified, real-time object detection, in: 2016 IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2015, pp. 779–788 .
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
