[论文解读] AdvHaze: Adversarial Haze Attack
AdvHaze 通过大气散射合成对抗性雾霾,以误导 DNN 图像分类器,在保持图像质量的同时,与基于噪声的基线相比,展示出具有竞争力的成功率和迁移性。
In recent years, adversarial attacks have drawn more attention for their value on evaluating and improving the robustness of machine learning models, especially, neural network models. However, previous attack methods have mainly focused on applying some $l^p$ norm-bounded noise perturbations. In this paper, we instead introduce a novel adversarial attack method based on haze, which is a common phenomenon in real-world scenery. Our method can synthesize potentially adversarial haze into an image based on the atmospheric scattering model with high realisticity and mislead classifiers to predict an incorrect class. We launch experiments on two popular datasets, i.e., ImageNet and NIPS~2017. We demonstrate that the proposed method achieves a high success rate, and holds better transferability across different classification models than the baselines. We also visualize the correlation matrices, which inspire us to jointly apply different perturbations to improve the success rate of the attack. We hope this work can boost the development of non-noise-based adversarial attacks and help evaluate and improve the robustness of DNNs.
研究动机与目标
- 通过利用真实世界的雾霾现象来激发非基于噪声的对抗攻击。
- 开发能够欺骗图像分类器且保持真实雾霾视觉效果的雾霾基攻击模型。
- 在大规模数据集上对比强基线评估所提出的攻击,并评估迁移性和图像质量。
- 通过相关性分析探索非噪声攻击与噪声攻击之间的关系。
提出的方法
- 使用大气散射方程 H(x)=I(x)t(x)+A(x)(1−t(x)) 进行雾霾合成,t(x)=exp(−β(x)d(x))。
- 通过在 L∞ 范数扰动约束下优化大气光照 A 和散射系数 β,以最大化分类损失 J,从而引入对抗雾霾。
- 提出两种变体:在整张图像上具有常数 A 和 β 的同质 AdvHaze (HAdvHaze),以及在空间上变化的 A 和 β,并通过低通滤波平滑的非均质 AdvHaze (IAdvHaze)。
- 采用深度估计 D(I)(MiDaS)计算深度 d,并通过 haze_D(I,A,β) 渲染雾霾图像。
- 使用 MI-FGSM 风格的梯度下降(符号更新,迭代 n=10,μ=1.0)进行优化,初始 A0=0.9,β0=0.1,步长为 0.01。
- 在 ImageNet 和 NIPS 2017 上与基线(FGSM、I-FGSM、MI-FGSM、TI-MI-FGSM、cAdv)进行比较,使用成功率和 NIQE 图像质量指标。
实验结果
研究问题
- RQ1通过大气散射合成的对抗性雾霾是否能在多种 DNN 架构上有效造成错误分类?
- RQ2非均质雾霾扰动是否比同质雾霾或传统噪声攻击具有更好的攻击迁移性?
- RQ3基于雾霾的攻击在感知图像质量上与噪声攻击相比如何,是否能够保持视觉自然?
- RQ4在重叠成功图像(相关性分析)方面,非噪声攻击与噪声攻击之间有什么关系?
主要发现
- IAdvHaze 在 ImageNet 和 NIPS 2017 的大多数目标模型上实现非常高的白盒成功率,超过 HAdvHaze,并与基于噪声的基线保持竞争力。
- IAdvHaze 对其他模型的迁移性与多个基线相比具有可比性或更好,特别是在 NIPS 2017 数据集上。
- 由于其参数化受限(仅有两个全局标量),HAdvHaze 通常表现不佳,而 IAdvHaze 能保持与多数基线相当甚至更好的图像质量,NIQE 分数所示。
- 基于 NIQE 的评估显示,所提的 IAdvHaze 通常比 FGSM 和 MI-FGSM 等以噪声为主的攻击具有更好的视觉质量,但在 TI-MI-FGSM 引入局部显著噪声的情况除外。
- 相关性分析表明非噪声攻击(cAdv、HAdvHaze、IAdvHaze)覆盖的图像子集与基于噪声的攻击不同,暗示结合两种扰动类型可能带来潜在收益。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。