《Signal Processing: Image Communication》:SMGM: Adversarial attacks against YOLO object detector using Sign Momentum Gradient Method
編輯推薦:
目標檢測模型中對抗樣本生成方法研究,提出基于自適應梯度累積的Sign Momentum Gradient Method(SMGM)實現物體不可見攻擊與誤分類攻擊,通過Adaptive Perturbation Suppression技術約束背景擾動,實驗表明在Pascal VOC2007測試集上對YOLOv4的攻擊成功率提升至0.79%。
張兆鑫|黃世澤|劉曉文|范倩輝|董德坤
上海同濟大學軌道基礎設施耐久性與系統安全重點實驗室,中國上海曹安路4800號,201804
摘要
基于卷積神經網絡(CNN)的對象檢測器已在各種視覺領域得到廣泛應用。然而,這些檢測器面臨著來自對抗性攻擊的嚴重威脅。當前的基于梯度的對抗性攻擊方法在誤導分類系統方面表現出了良好的性能。然而,在需要實時生成對抗性示例的專業領域中,由于迭代次數是固定的,這仍然是一個關鍵問題。現有文獻主要關注針對整個圖像的對抗性示例生成方法,忽略了領域特定需求。在這項研究中,我們提出了“符號動量梯度方法”(SMGM),作為一種有效且全面的白盒攻擊方法。隨后,我們利用這種方法提高了對“You Only Look Once”(YOLO)v4對象檢測器的攻擊效果。SMGM通過自適應累積擾動來實現這一目標。我們的攻擊算法包括對象不可見性攻擊和對象誤分類攻擊,確保了全面的效果。此外,在SMGM框架內,我們引入了“自適應擾動抑制”(APS)技術來限制背景擾動并調整擾動空間的維度。通過大量實驗,我們驗證了該方法在對象不可見性攻擊和對象誤分類攻擊中的優越性能。在Pascal VOC2007(測試)數據集上,我們的方法在欺騙YOLOv4對象檢測網絡方面實現了0.79%的顯著召回率(RR)。這些結果為針對其他計算機視覺任務的對抗性攻擊進一步發展提供了靈感。
引言
卷積神經網絡(CNN)在解決復雜的計算機視覺任務方面展示了顯著的優勢[1]。最近,研究人員將CNN應用于使用傳統方法無法滿意解決的圖像相關問題,如圖像分類[2]、對象檢測[3]和面部識別[4]。然而,CNN容易受到對抗性示例的操縱[5,6],這引發了人們對針對CNN的對抗性攻擊可能帶來的威脅的日益關注[[7], [8], [9]]。因此,探索對抗性示例有助于更好地理解CNN的底層機制,并提高其在自動駕駛[11]和動作分析[12]等領域的魯棒性[10]。
大量研究[13]表明深度學習容易受到數字對抗性攻擊和物理對抗性攻擊的影響[14]。快速梯度符號方法(FGSM)[15]是一種用于對分類器進行數字攻擊的一步梯度更新技術。在此基礎上,其他基于梯度的方法,如投影梯度下降(PGD)[16]、CI-FGSM[17]、AI-FGSM[18]等,通過迭代參數計算和對抗性擾動修改被開發出來,并被證明更有效。此外,CNN在現實世界場景中也容易受到對抗性示例的影響[19,20]。例如,在[21]中,佩戴精心設計的印刷眼鏡框架的人可以逃避識別或冒充他人。同樣,精心設計的擾動可以欺騙交通標志識別系統,使其將停車標志誤認為是限速標志[22]。Jung等人[23]評估了由多重任務損失(即對象性、定位和分類)引起的對抗性攻擊對YOLO對象檢測網絡的影響。
利用梯度輸入的現有研究[24]已經證明了它們在欺騙對象檢測模型方面的有效性。為了在工業環境中實現對對象檢測器的實時對抗性攻擊,生成迭代次數較少但仍然具有強大效果的對抗性示例至關重要。此外,盡管這兩種方法都為YOLO對象檢測網絡生成了對抗性示例,但我們的方法專注于如何實施有針對性的對抗性攻擊,特別是目標不可見性攻擊和目標誤分類攻擊,這與[23]中提出的對抗性示例生成方法不同。此外,我認為在背景(如天空)上引入對抗性擾動是多余的且徒勞的,因為存在區域提議機制。因此,在本文中,我們提出了基于梯度的對抗性攻擊算法“符號動量梯度方法”(SMGM)。我們的重點在于累積輸入梯度并調整擾動實體的累積量以生成對抗性示例。這項研究的貢獻如下:
•我們提出了“符號動量梯度方法”(SMGM)來生成對抗性示例,該方法可以調整擾動實體的累積量。這使得執行對象不可見性攻擊和對象誤分類攻擊成為可能。
•在SMGM框架內,我們引入了“自適應擾動抑制”(APS)方法,有效地調整擾動空間的大小并提高擾動的不可察覺性。APS通過圖像裁剪動態識別對抗性擾動的對象導向區域并細化背景信息。
•所提出的攻擊算法在真實世界數據集上取得了顯著的成功率。具體來說,在Pascal VOC2007(測試)數據集上,它在欺騙YOLOv4對象檢測網絡進行對象不可見性攻擊時實現了0.79%的召回率(RR)。
本文的結構如下:第2節全面回顧了與對抗性攻擊相關的各種概念。第3節介紹了本研究中提出的新方法。第4節詳細闡述了進行的實驗及其結果。最后,在第5節中提供了結論性意見以及潛在的未來研究方向。
相關工作
相關工作
在本節中,我們分別介紹了針對分類器和對象檢測器的對抗性攻擊的概述。
我們的對抗性攻擊方法
在本節中,我們介紹了我們方法的框架。隨后,我們闡明了我們對抗性攻擊方法的基本原理。
實驗設置
我們使用了兩個數據集進行實驗:Pascal VOC 2007&2012數據集[42]和Microsoft Common Objects in Context(MS-COCO)數據集[43]。對于對象不可見性攻擊,我們從Pascal VOC 2007(測試)數據集中選擇了4952張圖像,從COCO2017(驗證)數據集中選擇了5000張圖像。在我們的研究中,我們將迭代次數設置為10次。對于對象誤分類攻擊,我們的目標是使YOLOv4將“汽車”誤識別為“公交車”。因此,在設置數據集時,我們首先使用了
結論
在本文中,我們提出了SMGM,一種生成對抗性示例的技術,并利用這種方法提高了對“You Only Look Once”(YOLO)v4對象檢測器的攻擊效果。SMGM通過調整擾動實體的累積量來生成對抗性擾動。此外,SMGM可以輕松應用于其他任務,如文本識別、語義分割和實例分割以生成對抗性示例。為了增強生成過程,我們
CRediT作者貢獻聲明
張兆鑫:撰寫——原始草稿、驗證、軟件、方法論、正式分析、數據管理。黃世澤:撰寫——審閱與編輯、項目管理、調查、資金獲取、概念化。劉曉文:撰寫——審閱與編輯、資源管理、調查。范倩輝:軟件、數據管理。董德坤:監督、項目管理。
利益沖突聲明
作者聲明他們沒有已知的可能會影響本文所述工作的財務利益或個人關系。
致謝
本研究得到了中國自然科學基金(CSTB2022NSCQ-MSX1454)、上海人工智能創新發展專項支持(2020-RGZN-02041)和四川省科技計劃(2019YFG0040)的支持。
張兆鑫于2016年獲得中國青島山東科技大學的學士學位,2019年獲得中國蘭州交通大學的碩士學位,2023年獲得中國上海同濟大學的博士學位。目前,他在香港科技大學從事博士后研究。他的當前研究興趣包括智能交通系統、對抗性攻擊等。
