Skip to main content
QUICK REVIEW

[论文解读] Transferable Adversarial Attacks for Image and Video Object Detection

Xingxing Wei, Siyuan Liang|arXiv (Cornell University)|Nov 30, 2018
Adversarial Robustness in Machine Learning参考文献 34被引用 29
一句话总结

该论文提出统一高效对抗攻击(UEA),一种基于生成对抗网络(GAN)的生成式方法,可高效生成适用于图像与视频目标检测的可迁移对抗样本。通过在共享主干特征上联合优化高层分类损失与低层多尺度注意力特征损失,UEA 的生成速度比基于优化的方法快 1000 倍以上,并成功攻击了基于提议的检测器(如 Faster R-CNN)与基于回归的检测器(如 SSD),展现出极高的可迁移性。

ABSTRACT

Adversarial examples have been demonstrated to threaten many computer vision tasks including object detection. However, the existing attacking methods for object detection have two limitations: poor transferability, which denotes that the generated adversarial examples have low success rate to attack other kinds of detection methods, and high computation cost, which means that they need more time to generate an adversarial image, and therefore are difficult to deal with the video data. To address these issues, we utilize a generative mechanism to obtain the adversarial image and video. In this way, the processing time is reduced. To enhance the transferability, we destroy the feature maps extracted from the feature network, which usually constitutes the basis of object detectors. The proposed method is based on the Generative Adversarial Network (GAN) framework, where we combine the high-level class loss and low-level feature loss to jointly train the adversarial example generator. A series of experiments conducted on PASCAL VOC and ImageNet VID datasets show that our method can efficiently generate image and video adversarial examples, and more importantly, these adversarial examples have better transferability, and thus, are able to simultaneously attack two kinds of representative object detection models: proposal based models like Faster-RCNN, and regression based models like SSD.

研究动机与目标

  • 为解决现有视频目标检测对抗攻击方法计算成本过高的问题,这些方法需对每一帧进行迭代优化。
  • 克服当前攻击方法可迁移性弱的问题,这些方法常无法从基于提议的检测器迁移到基于回归的检测器。
  • 开发一种统一、高效且可迁移的攻击框架,适用于多种目标检测架构。
  • 通过大幅减少生成时间,在保持高攻击成功率的前提下,实现对视频数据的实际黑盒攻击。

提出的方法

  • UEA 在 GAN 框架内构建对抗样本生成过程,使用一个生成器网络训练以生成对抗性图像与视频帧。
  • 生成器通过结合 GAN 损失、高层分类损失(在最终的 softmax 层上)以及一种新颖的低层多尺度注意力特征损失进行训练,后者针对主干网络中间层的特征图进行优化。
  • 注意力机制通过加权特征子区域,将扰动聚焦于前景物体区域,从而提升样本的不可察觉性与攻击效率。
  • 该方法利用不同检测器之间的共享特征表示(如 Faster R-CNN 与 SSD 中的 VGG16),通过操纵两种检测范式共有的特征,实现可迁移性。
  • 推理阶段仅需生成器的前向传播,实现近乎即时的生成速度——比迭代方法(如 DAG)快 1000 倍以上。
  • 该方法应用于图像(PASCAL VOC)与视频(ImageNet VID)数据集,并在多种检测器架构上实现端到端训练与测试。

实验结果

研究问题

  • RQ1能否利用生成式对抗框架,显著降低相比迭代优化方法的计算成本,从而为目标检测生成对抗样本?
  • RQ2通过操纵共享主干网络的低层特征图,是否能提升在不同检测架构间的可迁移性?
  • RQ3能否通过单一对抗样本同时成功攻击基于提议的检测器(如 Faster R-CNN)与基于回归的检测器(如 SSD)?
  • RQ4在现有方法因逐帧攻击生成计算成本过高而难以应用的视频目标检测任务中,该方法表现如何?
  • RQ5使用注意力加权的特征损失在提升不可察觉性与攻击成功率方面,其作用程度如何?

主要发现

  • 与最先进的迭代方法 DAG 相比,UEA 将对抗样本生成时间减少了 1000 倍以上,在 ImageNet VID 数据集上每视频仅需 0.3 秒即可完成处理。
  • 在攻击视频检测模型时,UEA 在 Faster R-CNN 上造成 0.40 mAP 的下降,在 SSD300 上造成 0.44 mAP 的下降,表明其在视频数据上具有强大的攻击性能。
  • 该方法可同时成功欺骗 Faster R-CNN(基于提议)与 SSD300(基于回归)检测器,验证了其极高的可迁移性。
  • 定性结果表明,UEA 生成的对抗样本会导致两个检测器完全失效——既无检测结果,也产生错误预测,而原始图像则能被准确检测。
  • 特征可视化结果证实,UEA 有效操纵了主干网络中的中间特征图,从根源上破坏了检测流程。
  • 消融实验验证了多尺度注意力特征损失的重要性,表明若移除该损失,两类检测器的攻击成功率均显著下降。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。