[论文解读] Patch Attack for Automatic Check-out
本文提出了一种基于偏差的框架,用于生成具有强泛化能力的、与类别无关的通用对抗性补丁,适用于自动结账(ACO)系统。通过利用基于纹理的困难样本所体现的感知偏差,以及通过类别特定原型实现的语义偏差,该方法在多种数字世界和物理世界场景中均实现了卓越的攻击成功率,在白盒和黑盒设置下均优于最先进方法。
Adversarial examples are inputs with imperceptible perturbations that easily misleading deep neural networks(DNNs). Recently, adversarial patch, with noise confined to a small and localized patch, has emerged for its easy feasibility in real-world scenarios. However, existing strategies failed to generate adversarial patches with strong generalization ability. In other words, the adversarial patches were input-specific and failed to attack images from all classes, especially unseen ones during training. To address the problem, this paper proposes a bias-based framework to generate class-agnostic universal adversarial patches with strong generalization ability, which exploits both the perceptual and semantic bias of models. Regarding the perceptual bias, since DNNs are strongly biased towards textures, we exploit the hard examples which convey strong model uncertainties and extract a textural patch prior from them by adopting the style similarities. The patch prior is more close to decision boundaries and would promote attacks. To further alleviate the heavy dependency on large amounts of data in training universal attacks, we further exploit the semantic bias. As the class-wise preference, prototypes are introduced and pursued by maximizing the multi-class margin to help universal training. Taking AutomaticCheck-out (ACO) as the typical scenario, extensive experiments including white-box and black-box settings in both digital-world(RPC, the largest ACO related dataset) and physical-world scenario(Taobao and JD, the world' s largest online shopping platforms) are conducted. Experimental results demonstrate that our proposed framework outperforms state-of-the-art adversarial patch attack methods.
研究动机与目标
- 解决现有对抗性补丁攻击在泛化方面的不足,这些攻击通常依赖于特定输入,在未见类别上会失效。
- 通过利用模型内在偏差,克服训练通用攻击时对大量数据的依赖。
- 开发一种鲁棒的、与类别无关的通用对抗性补丁生成方法,适用于现实世界的自动结账系统。
- 在数字世界(如RPC数据集)和物理世界(如淘宝、京东)部署场景中,提升攻击的有效性。
- 通过利用深度神经网络中固有的感知和语义偏差,提升攻击成功率。
提出的方法
- 识别具有高模型不确定性的困难样本,基于风格相似性提取纹理补丁先验,以增强对决策边界的接近度。
- 通过聚焦于基于纹理的特征,利用感知偏差,因为深度神经网络本质上对纹理具有偏向性,从而提升攻击的迁移能力。
- 引入类别特定原型以建模语义偏差,在训练过程中优化多类别间隔最大化。
- 将感知偏差和语义偏差组件整合到统一框架中,以生成具有广泛泛化能力的通用对抗性补丁。
- 使用损失函数联合训练通用补丁,该损失函数在所有类别上平衡决策边界接近度与间隔最大化。
- 在数字世界(RPC)和物理世界(淘宝、京东)环境中,于白盒和黑盒设置下部署生成的补丁,以验证其鲁棒性。
实验结果
研究问题
- RQ1能否生成一种在所有类别上均具有泛化能力的通用对抗性补丁,包括在训练期间未见的类别?
- RQ2通过利用感知偏差——特别是基于纹理的特征——在多大程度上能提升对抗性补丁的迁移能力和有效性?
- RQ3通过类别特定原型建模的语义偏差,在多大程度上能减少对数据的依赖并提升通用攻击性能?
- RQ4与现有方法相比,所提出的框架在真实世界的物理世界设置下的表现如何?
- RQ5感知偏差和语义偏差在提升通用对抗性补丁的鲁棒性和泛化能力方面,各自贡献如何?
主要发现
- 在RPC数据集上,所提框架在白盒和黑盒设置下的攻击成功率均高于最先进方法。
- 该方法表现出强大的泛化能力,成功攻击了所有类别中的图像,包括训练期间未见的类别。
- 感知与语义偏差的整合显著提升了攻击性能,同时减少了对大规模训练数据的依赖。
- 在淘宝和京东的物理世界评估中,通用对抗性补丁保持了高攻击成功率,证明了其在真实世界中的可行性。
- 基于风格相似性的纹理补丁先验提高了对决策边界的接近度,从而增强了攻击效果。
- 通过原型实现的多类别间隔最大化,提升了通用补丁在多样化类别上的鲁棒性和泛化能力。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。