[論文レビュー] Adv-Attribute: Inconspicuous and Transferable Adversarial Attack on Face Recognition
Adv-Attribute は StyleGAN で複数の意味属性を編集して気づかれにくく転用可能な対抗的顔を生成する。目標顔特徴の差異に導かれ、多目的最適化と重要度を考慮した属性選択でバランスを取る。
Deep learning models have shown their vulnerability when dealing with adversarial attacks. Existing attacks almost perform on low-level instances, such as pixels and super-pixels, and rarely exploit semantic clues. For face recognition attacks, existing methods typically generate the l_p-norm perturbations on pixels, however, resulting in low attack transferability and high vulnerability to denoising defense models. In this work, instead of performing perturbations on the low-level pixels, we propose to generate attacks through perturbing on the high-level semantics to improve attack transferability. Specifically, a unified flexible framework, Adversarial Attributes (Adv-Attribute), is designed to generate inconspicuous and transferable attacks on face recognition, which crafts the adversarial noise and adds it into different attributes based on the guidance of the difference in face recognition features from the target. Moreover, the importance-aware attribute selection and the multi-objective optimization strategy are introduced to further ensure the balance of stealthiness and attacking strength. Extensive experiments on the FFHQ and CelebA-HQ datasets show that the proposed Adv-Attribute method achieves the state-of-the-art attacking success rates while maintaining better visual effects against recent attack methods.
研究の動機と目的
- 高レベルの顔属性を利用してピクセルレベルの摂動より堅牢で転送可能な攻撃を促進する。
- Adv-Attribute を提案し、アイデンティティと視覚品質を保ちながら複数の意味属性を撹乱する。
- ステルス性と攻撃力のバランスを取り、重要度を考慮した属性選択と多目的最適化を行う。
- FFHQ と CelebA-HQ で標準および adversarially trained FR モデルに対する最新の impersonation ASR をデモンストレーションする。
提案手法
- StyleGAN を用いて潜在空間の複数の分離属性ベクトルを編集して対抗的な顔を生成する。
- 出発元と対象の顔の特徴差を入力として取る学習済み生成器 G_a によって各属性ごとに対抗的ノイズ n_i を計算する。
- ステルス損失を課し v_i を z_i に近づけ、ノルムを小さく保つ一方、FR 埋め込み間のコサイン類似度に基づくなりすまし損失を維持する。
- 各ステップで最も影響力のある属性を選ぶ重要度を考慮した属性選択を適用して、対抗性能の限界利益に基づく。
- ロスの重みを適応的に調整してステルス性と攻撃力のバランスをとる多目的最適化を解き、パレート安定解に近づくよう適応的に重みを調整することで、ステルス性と攻撃力のバランスを取る多目的最適化を解く。
実験結果
リサーチクエスチョン
- RQ1ピクセルレベルの摂動よりも高レベルの意味属性編集が顔認識に対してより転用可能な対抗例を生み出せるか?
- RQ2複数の属性を編集して顔認識を攻撃する際、ステルス性と有効性をどうバランスさせるか?
- RQ3適応的属性選択と多目的最適化はブラックボックスおよび adversarially trained FR モデルへの転送性を改善するか?
- RQ4複数の顔属性を編集することが視覚的にどの程度 inconspicuous となり、攻撃成功率にどう影響するか?
主な発見
- Adv-Attribute は FFHQ と CelebA-HQ においてブラックボックス設定下で勾配ベースおよびパッチベースのアプローチより高いなりすまし ASR を達成する。
- 手法は adversarial training(例: PGD-AT, TRADES)を用いた堅牢な FR モデルに対しても有効なままである。
- 重要度を考慮した属性選択は多様で適応的な攻撃方向を生み出し、固定属性更新より効果を高める。
- 多目的最適化はステルス性と攻撃力の動的バランスを生み出し、画像品質を保ちつつ転送性を高める。
- 定性的・定量的結果は対抗的な顔がピクセル摂動やパッチベースの攻撃より気づかれにくく自然に見えることを示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。