- 博客(19)
- 收藏
- 关注
RSS订阅原创 《Transferable Black-Box Attack Against FaceRecognition With Spatial Mutable Adversarial Patch》论文分享
原文链接:dblp: Transferable Black-Box Attack Against Face Recognition With Spatial Mutable Adversarial Patch.author={Haotian Ma and Ke Xu and Xinghao Jiang and Zeyu Zhao and Tanfeng Sun}一、介绍本文提出了一种空间可变对抗补丁(SMAP)的方法来产生一个动态可变补丁注入到脸上。在所提出的SMAP中,纹理,位
2024-05-27 00:52:29
600
原创 《A data independent approach to generate adversarial patches》论文分享(侵删)
实验结果表明,DiAP生成的对抗补丁具有较强的攻击能力.特别是,通过从非目标补丁中提取关于训练数据的模糊信息,DiAP在黑盒攻击场景中的性能优于最先进的攻击方法。显示了为非目标攻击生成的一些补丁。当斑块覆盖10%的测试图像时,97.1%的与斑块(a)叠加的对抗性示例被分类为气泡,60.9%的被斑块(b)扰动的图像被识别为作为盐瓶或瓢虫,55.8%的图像被斑片(c)干扰后被识别为气泡或风车。对抗补丁是图像独立的,对于旋转和缩放是鲁棒的,可以放置在深度神经网络的视野内的任何地方,并使深度神经网络输出目标类。
2024-05-11 23:54:01
688
2
原创 《Suppress with a Patch: Revisiting UniversalAdversarial Patch Attacks against Object Detection》论文分享
特别是,我们评估的补丁大小和初始化方法的影响。为了实现位置不可知的补丁,我们评估了三种可能的补丁放置策略:将补丁放置在一个固定的位置,动态窗口的方法,和随机补丁放置。我们对不同的补丁生成参数进行了深入的分析,包括初始化,补丁大小,特别是在训练过程中在图像中定位补丁。实验表明,在训练过程中,在一个大小不断增加的窗口内插入一个补丁,与固定位置相比,可以显著增加攻击强度。我们研究了在训练期间定位补丁的三种方法:(1)将补丁放置在图像中心的固定位置,(2)动态窗口方法,以及(3)在整个输入图像上随机放置补丁。
2024-03-26 21:36:39
894
1
原创 《DEFENDING AGAINST PHYSICALLY REALIZABLE AT-TACKS ON IMAGE CLASSIFICATION》论文分享(侵删)
具体来说,在我们的Pytorch实现中,我们将图像从RGB转换为BGR通道阶数,并减去平均值[129.1863,104.7624,93.5940],以便在卷积层上使用来自VGG-Face的预训练权重。尽管引入了可调步幅参数,但搜索罗阿的最佳位置仍然需要大量的损失函数评估,这在一定程度上是昂贵的(因为每个这样的评估意味着通过深度神经网络的完全前向传递),并且这些成本迅速增加。然后,我们通过实验证明,我们提出的方法对深度神经网络的物理攻击比对抗性训练和利用基于LP的攻击模型的随机平滑方法更强大。
2024-03-24 21:48:04
570
1
原创 《Adaptive Adversarial Patch Attack on Face Recognition Models》论文分享(侵删)
我们反向传播Ladv,以获得梯度Ladv,然后对每个通道的结果进行平方和求和,以获得显著性图,显著图中每个像素的值反映了其对识别的重要性,这意味着可识别区域可以被视为最容易受到攻击的区域。在本文中,我们提出了一个新的统一的自适应对抗补丁攻击框架,有针对性的攻击人脸识别模型,AAP。不同于现有的补丁攻击作品,只集中在补丁生成的一个方面,我们综合考虑多个因素,包括补丁的位置,补丁的形状,补丁的数量。我们的方法自适应地选择补丁的位置和数量的显着性图和K均值聚类的基础上,同时变形补丁的形状和优化扰动。
2024-03-20 17:12:30
1693
1
原创 《RPATTACK: REFINED PATCH ATTACK ON GENERAL OBJECT DETECTORS》论文分享(侵删)
去除攻击过程中的无关扰动,保持攻击过程,可以充分修改剩余的关键像素。具体来说,我们自适应地找到补丁的基础上的梯度攻击,并逐步删除每个补丁中的无关紧要的像素,直到攻击过程变得稳定。其中x = k是第k次迭代中的对抗样本,Ji是我们用来攻击第i个检测器的损失函数,α是更新的步长,权重wi是平衡梯度的参数,Di(x)是第i个检测器检测到的x中的实例数。其中xj是第j个图像,Di(x)表示由第i个检测器检测到的图像x的边界框编号,Pj是我们添加到第j个图像的扰动,并且Area(Pj)是第j个图像中的扰动面积。
2024-03-04 23:12:15
904
1
原创 An Asterisk-shaped Patch Attack for ObjectDetection论文分享(侵删)
在接下来的工作中,一方面,我们会进一步改进我们的方法,选择更好的局部对抗补丁添加到图像中,特别是针对两阶段对象检测器的攻击,因为在实验中我们发现YOLOv 5模型更容易攻击,而针对Faster R-CNN模型的攻击则更困难;我们根据攻击的模型设计不同的损失函数,并选择图像中使我们的攻击最好的关键位置。评估标准:在实验中,我们从mAP、攻击成功率(ASR)、攻击所需时间(Time)等角度对攻击算法进行了评估,而Changed Pixels是指添加到图像中的对抗性扰动可以改变的图像像素的最大数量。
2024-02-28 18:34:00
696
原创 Superpixel Segmentation with Fully Convolutional Networks论文分享(侵删)
在未来,我们计划将所提出的基于超像素的下采样/上采样方案应用于其他密集预测任务,例如对象分割和光流估计,并探索在这些应用中使用超像素的不同方法。我们替换了用于下采样的传统操作(例如,跨距-2卷积)和上采样(例如,双线性上采样),并采用基于超像素的下采样/上采样方案,有效地保留对象边界和细节。其中Y ∈ Rh×w×C是一个输出量,使得h = H/ S,w = W /S,κi,j是一个仿射网络的输出,使得Σ(K/2)( a,B=−K/2+1) κi,j(a,b)= 1,并且是元素乘积。我们使用SLIC损失。
2024-02-20 11:31:51
722
原创 Robust Superpixel-Guided Attentional Adversarial Attack论文分享(侵删)
提出了第一种鲁棒的超像素引导的注意力对抗攻击方法。具体来说,给定一幅输入图像,我们首先对传统的超像素生成方法进行改进,得到过分割的超像素图,其中每个超像素中的像素具有相似的颜色,并遵循局部平滑特性。然后我们以超像素的方式生成对抗扰动,即,每个超像素内的扰动必须是相同的。为了进一步保证局部平滑,我们通过自适应合并相似的超像素来改进原始超像素方法。对于“全局“问题,我们通过使用来自类别激活图的辅助信息来替换它。换句话说,我们约束每个超像素的局部平滑扰动仅被添加到前景对象上。
2024-02-06 13:15:36
564
1
原创 Shape Matters: Deformable Patch Attack论文分享(侵删)
然而,由于缺乏一个有效的建模策略,以前的工作必须限制补丁到固定的形状,如圆形或矩形,这忽略了补丁的形状作为补丁攻击的一个因素。在本文中,我们提出了一种新的可变形补丁表示,利用三角形几何形状,并采用了可微的轮廓建模和掩蔽之间的映射过程。补丁的纹理在放大补丁攻击的性能方面起着重要的作用。关于防御,本文通过引入对抗性形状,从一个新的角度建立了一个新的基线来反映对抗性补丁攻击的防御方法的鲁棒性。对于所有C ∈ △i,我们求解AB和CO的线性方程,计算D的坐标,并根据等式4确定相应的掩码值M(C,r)。
2024-02-03 23:12:29
496
1
原创 Cross-shaped Adversarial Patch Attack论文分享(侵删)
我们对我们提出的方法和现有的基于补丁的方法进行了全面的实验,对不同的网络在黑盒场景下的四个数据集。如果线段的宽度s设置为1(我们实验中的默认设置),那么我们可以相应地实现(p,q)的可行范围,其中p ∈ [,h−],q ∈ [,w−]。这些单色条的颜色被初始化为随机RGB值,其被限制在{0,1}c中(即,图像域的边界[0,1]c)。比较方法:对于黑盒场景,我们将提出的CSPA与四种最先进的基于补丁的攻击方法进行比较,包括HPA [26],MPA [27],TPA [27]和Patch-RS [29]。
2024-02-01 20:21:33
633
原创 Towards Practical Certifiable Patch Defense with Vision Transformer论文分享(侵删)
因此,通过非常有限的图像信息(薄的平滑图像带)可以获得更具鉴别力的局部表示,这提高了基础分类器的性能。在第二阶段,我们平滑掉70%的图像,并利用剩余的30%的波段,在以30%波段为中心的邻域内重建60%的补丁,包括30%波段。在我们的工作中,我们希望提供一个新的角度来看,一个合适的网络架构,可以提高补丁防御在实践中的上层认证。对于输入图像x ∈ Rc×h×w,令基分类器表示为fc(x,b,p,θ),其中x是输入图像,b是频带的宽度,p是保留频带的位置,θ是用于投票的阈值,c是类别标签。去随机平滑(DS)。
2024-01-28 23:06:45
918
原创 Pixel-Level Clustering Network for Unsupervised Image Segmentation论文分享(侵删)
一、介绍提出了一个像素级聚类框架分割图像区域,而不使用地面实况注释。该框架包括具有注意力机制的特征嵌入模块、特征统计计算模块、图像重建和超像素分割,以实现精确的无监督分割。此外,我们提出了一种训练策略,该策略利用每个超像素内的一致性,相邻超像素之间的相似性/不相似性以及图像之间的结构相似性。为了避免潜在的过分割所造成的基于超像素的损失,还提出了一个后处理方法。此外,提出了一个扩展的无监督语义分割方法。引入了一个特征嵌入模块(FEM)来替换CNN中的典型残差块。FEM采用通道注意机制和融合激活函数
2024-01-25 22:08:31
569
原创 Generative Dynamic Patch Attack论文分享(侵删)
首先,它采用了两阶段的攻击生成,它分离的过程中找到补丁的位置和补丁模式分为两个步骤:它首先找到的位置使用的灰度模式,然后优化补丁模式在该位置。GDPA,一种新的动态补丁攻击算法,生成补丁模式和补丁位置的每一个输入图像。随着迭代训练的进行,生成器G在每次迭代中搜索最弱的图像区域来攻击分类器T,而T从当前的补丁攻击中学习,并且随着时间的推移变得对这些攻击更具弹性。·实验表明,GDPA具有比强补丁攻击基线更高的上级攻击成功率,并且使用GDPA的对抗性训练模型对各种对抗性攻击的鲁棒性比最先进的方法更强。
2024-01-15 22:42:21
889
1
原创 Defending Against Adversarial FingerprintAttacks Based on Deep Image Prior论文分享(侵删)
我们进行了一项消融研究,以评估包括我们提出的方法的模块的有效性(即,预处理模块和重构模块)来防御使用三种不同对抗性攻击方法生成的对抗性指纹图像(即,FGSM、PGD和Deepfool)。我们将这些结果与仅将中心裁剪应用于没有DIP的对抗性指纹图像(=预处理模块)时获得的PAD精度进行了比较,当仅将DIP应用于没有中心裁剪的相同图像(=重建模块)时,以及当我们的方法完全应用于相同图像时。因此,通过在特定迭代处停止重建模块的操作,可以消除对抗性扰动,同时获得与原始指纹图像几乎相同的重建指纹图像。
2024-01-09 22:31:52
379
原创 Adversarial Attacks Defense Method Based on Multiple Filteringand Image Rotation论文分享(侵删)
深度神经网络用于图像分类任务的对抗性示例攻击方法分为四类:基于邻域搜索的攻击、基于梯度的攻击、基于优化的攻击和基于图像变换的攻击。现有的大多数方法都存在以下问题:(1)模型增强方法受到训练代价高的限制(2)模型增强方法高度依赖于模型和攻击方法(3)大多数基于图像预处理的方法削弱了对抗性扰动,降低了模型对清晰图像的分类精度(4)滤波方法在防御对抗性攻击时的精度下降。实验结果表明,该方法对各种不经意攻击都有很好的防御效果,而对部分模型的分类精度影响较小.此外,该方法降低了自适应攻击下的对抗性示例的可移植性。
2024-01-03 21:46:38
863
1
原创 Towards Evaluating the Robustness of Neural Networks论文分享(侵删)
那么,其他类别的logits值将会非常非常小,对应的梯度同样非常小,事实上,在大部分情况下,梯度小到32-bit的数据无法表示,只能取0。T意思是Temperature,就是一个在softmax操作前需要统一除以的小参数,这个小参数有这样的属性: 如果将T取1,这个公式就是softmax,根据logit输出各个类别的概率 如果T接近于0,则最大的值会越近1,其它值会接近0,近似于onehot编码 如果T越大,则输出的结果的分布越平缓,相当于平滑的一个作用,起到保留相似信息的作用。c使用二分类搜索进行选择。
2023-12-28 23:51:55
916
原创 Detecting Backdoor in Deep Neural Networks viaIntentional Adversarial Perturbations论文分享(侵删)
与针对每个图像专门制作的图像特定对抗扰动不同[14],UAP是基于具有一小组干净图像的模型生成的[13]。UAP [13]作为一种与图像无关的扰动,对触发器的影响远小于特定于图像的扰动,因此后门实例的标签即使在受到UAP [13]的扰动后也不会改变。在没有提出的防御方法的情况下,Fashion-MNIST [9],CIFAR-10 [10]和GTSRB [11]上的后门攻击成功率(BASR)分别为99.47%,99.77%和97.89%。只需要一小组干净的图像(300个干净的图像)来生成通用的对抗性扰动。
2023-12-28 23:45:09
803
3
原创 《DeepFool: a simple and accurate method to fool deep neural networks》论文分享(侵删)
本文为Adversary Attack方向的一篇经典论文。算法名为DeepFool,其目标是寻求最小的扰动来达到生成对抗样本的目标。这是一种untargeted attak 该算法是通过寻求当前的点在高维空间中离所有非真实类的决策边界中最近的一个,来作为攻击后的label 需要注意的是,该算法是一种贪心算法,并不能保证收敛到最优扰动。但是,作者在实践中观察到,该算法产生的扰动非常小,可以认为是最小扰动的很好的近似。提出了一种简单、准确的方法来计算比较不对分类器对对抗扰动的鲁棒性。
2023-12-09 18:43:43
321
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人