这是一篇关于目标检测任务中对抗样本攻击的综述论文。文章介绍了深度学习在计算机中的应用,以及对抗样本攻击的相关概念和方法,其中重点讨论了目标检测任务中基于分类和回归的对抗样本攻击,并对其他相关攻击方法进行了总结,最后得出结论并展望未来研究方向。
1.引言
- 深度学习背景:深度学习在处理图像或视频数据方面具有优势,广泛应用于计算机视觉任务,但由于深度网络的复杂结构,其存在脆弱性,容易受到攻击。
- 目标检测任务:传统目标检测方法基于滑动窗口和传统机器学习框架,性能受限;基于深度学习的方法如 R - CNN、Fast R - CNN、YOLO 和 Faster R - CNN 等取得了显著进展,但也带来了网络的脆弱性问题。
- 对抗样本攻击:作为主流攻击方法,为在目标检测任务中产生扰动提供了有效思路。现有研究大多侧重于分类任务,而目标检测任务包括定位和分类,因此有必要对目标检测中的对抗攻击进行综述。
2.相关术语:
- 对抗样本攻击:通过在原始图像上添加人工扰动来误导网络,核心思想是基于网络梯度生成扰动。
- 对抗扰动:对抗样本的主要元素,通常基于网络梯度生成,用于欺骗网络输出错误预测。
- 白盒攻击和黑盒攻击:白盒攻击拥有网络的详细信息,包括模型内部参数;黑盒攻击则没有网络信息,通常使用梯度估计或其他白盒攻击的可转移性。
- 梯度攻击:基于网络梯度的白盒攻击方法,如FGSM通过计算单步梯度生成对抗样本。
- 目标攻击和非目标攻击:目标攻击旨在引导网络预测错误并输出特定目标标签;非目标攻击则会误导网络给出随机错误预测。
- 基于提议的(两阶段)目标检测任务和基于回归的(一阶段)目标检测任务:基于提议的任务通常使用至少两个网络,性能较好但时间复杂度高;基于回归的任务基于一个网络,能处理大规模输入问题。
- 非极大值抑制(NMS)和区域提议网络(RPN):NMS 用于减少目标检测算法中提议区域的冗余;RPN 用于询问输入图像的区域提议,并通过分类器和回归器实现该目标。
- 分类攻击和回归攻击:分类攻击旨在误导分类器给出特定错误预测或随机错误结果;回归攻击则通过添加扰动误导回归器给出错误预测,在目标检测中具体指针对位置问题的攻击。
3.对抗样本攻击:
分类攻击:
- 传统分类攻击:介绍了 L - BFGS、FGSM、JSMA、One pixel attack 和 Carlini and Wagner attacks 等第一代对抗样本攻击方法。
- 目标检测中的分类攻击:包括 Dense Adversary Generation 算法(DAG)、Unified and Efficient Adversary 算法(UEA)、Shapeshifter 和 PhyAttack 等,这些算法试图欺骗网络并使扰动尽可能小。
回归攻击:
- 回归领域的对抗攻击:以 Gupta 等人提出的策略为例,介绍了回归领域中对抗攻击的基本方法。
- 目标检测中的回归攻击:包括 DPatch 攻击、Robust adversarial perturbation(R - AP)和 Background patch(B - Patch)等,这些攻击通常通过补丁来干扰目标检测中的位置回归和对象分类。
分类回归比较:
分类攻击更关注减小扰动以欺骗判别器,而回归攻击难以隐藏补丁,且补丁容易被注意到,但在某些任务中可能适用。分类攻击在准确性和生成速度上有优势,回归攻击则在精度上表现更好,但攻击更容易被检测。此外,回归攻击中的补丁方法在特定应用中有一定价值,但总体上分类攻击应用更广泛。
4.其他攻击目标检测的工作:
- 对抗防御在目标检测中的应用:介绍了一些对抗防御方法,如对抗训练用于鲁棒检测,但仍存在一些具有转移性的黑盒攻击难以防御。
- 通过对抗样本来加强目标检测:利用对抗样本进行数据据增强,如Chen等人提出的创新方法,通过FGSM算法生成对抗样本来增强网络的鲁棒性和准确性
- 对抗样本的扩展:其他基于优化网络的创新方法,如Naseer等人设计的自监督对抗训练方法,Lee等人提出的Adversarial Vertex - Mixup 方法、Kolouri 等人提出的 Universal Litmus Patterns 方法、Zhou 等人提出的数据无关训练方法等,这些方法为对抗攻击和防御研究提供了新的思路和方向。
5.结论
目标检测中基于分类和回归的攻击均受OD方法内部特征启发,利用网络的稳定性生成对抗样本是有效思路,基于对抗样本的研究还可衍生出防御方法,但针对具有转移性的不可预测黑盒攻击,仍需进一步研究稳健高效的防御算法。
扫一扫
926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
