Skip to main content
QUICK REVIEW

[论文解读] Object Hider: Adversarial Patch Attack Against Object Detectors

Yusheng Zhao, Huanqian Yan|arXiv (Cornell University)|Oct 28, 2020
Adversarial Robustness in Machine Learning参考文献 5被引用 23
一句话总结

本文提出了两种新颖的对抗性贴图生成方法——基于热力图的和基于共识的,用于攻击目标检测模型。通过利用梯度可视化和跨模型投票,该方法生成稀疏且可迁移的贴图,能有效使最先进的检测器无法检测到物体,在阿里巴巴AIC竞赛中得分超过3000分,展现出极高的有效性和泛化能力。

ABSTRACT

Deep neural networks have been widely used in many computer vision tasks. However, it is proved that they are susceptible to small, imperceptible perturbations added to the input. Inputs with elaborately designed perturbations that can fool deep learning models are called adversarial examples, and they have drawn great concerns about the safety of deep neural networks. Object detection algorithms are designed to locate and classify objects in images or videos and they are the core of many computer vision tasks, which have great research value and wide applications. In this paper, we focus on adversarial attack on some state-of-the-art object detection models. As a practical alternative, we use adversarial patches for the attack. Two adversarial patch generation algorithms have been proposed: the heatmap-based algorithm and the consensus-based algorithm. The experiment results have shown that the proposed methods are highly effective, transferable and generic. Additionally, we have applied the proposed methods to competition "Adversarial Challenge on Object Detection" that is organized by Alibaba on the Tianchi platform and won top 7 in 1701 teams. Code is available at: https://github.com/FenHua/DetDak

研究动机与目标

  • 研究最先进目标检测模型对对抗性贴图攻击的脆弱性。
  • 开发实用且可迁移的对抗性贴图,以实现对目标检测的隐藏。
  • 改进基于梯度的显著性可视化方法,以适用于多目标和尺度敏感场景,将Grad-CAM扩展至多目标和尺度敏感场景。
  • 通过在多个模型间采用基于共识的投票策略,提升贴图定位精度和攻击可迁移性。
  • 在真实世界基准测试中实现高性能攻击,例如阿里巴巴对抗性目标检测挑战赛。

提出的方法

  • 通过在中间卷积层上计算梯度加权类别激活图,将Grad-CAM方法适配至目标检测任务,通过梯度与特征图的逐元素相乘保留空间信息。
  • 引入归一化与聚合策略,以处理多目标和不同尺度情况,确保在各种输入图像中生成鲁棒的热力图。
  • 提出基于共识的贴图选择方法,同时攻击多个目标模型,并通过投票机制整合结果,识别出高影响力贴图位置。
  • 在选定区域应用快速梯度符号法(FGSM)生成对抗性贴图,通过迭代优化实现最大模型误分类。
  • 采用网格状稀疏化方法,通过应用二值网格矩阵到贴图掩码上,减少扰动像素数量,同时保持攻击有效性。
  • 采用集成策略,结合不同贴图尺度(20, 50, 70)和网格比率(0.5, 0.6, 0.7),以提升性能和可迁移性。

实验结果

研究问题

  • RQ1基于梯度的显著性图能否有效适配至多目标目标检测模型,以指导对抗性贴图的放置?
  • RQ2与单模型引导相比,通过多模型进行基于共识的贴图选择在提升攻击可迁移性方面有何优势?
  • RQ3稀疏的、网格状的对抗性贴图在最小像素扰动下,能在多大程度上实现高攻击成功率?
  • RQ4所提出的方法在真实世界基准测试(如阿里巴巴AIC竞赛)中的有效性如何?
  • RQ5结合尺度与稀疏性集成策略对攻击性能和鲁棒性有何影响?

主要发现

  • 基于共识的方法优于基于热力图的方法,得分达3071分,而基于热力图的方法在集成下得分为2713分,表明其具有更高的可迁移性和定位能力。
  • 通过采用网格状贴图和尺度集成,该方法在阿里巴巴AIC竞赛中得分超过3000分,位列1701支队伍中的前7名。
  • 通过在多目标和多尺度间归一化与聚合梯度,将基于热力图的方法成功适配至目标检测任务,实现了有效的显著性可视化。
  • 网格状稀疏化方法在减少扰动像素数量的同时保持了高攻击成功率,展现出高效性和实用性。
  • 基于共识的方法通过整合多个模型的结果,生成的贴图比单模型方法更具鲁棒性和可迁移性。
  • 所提出的方法在白盒(YOLOv4, Faster R-CNN)和黑盒检测模型中均具有通用性和有效性,证实了其强大的可迁移性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。