author={Bei Yan and Jie Zhang and Zheng Yuan and Shiguang Shan},
title={Adaptive Adversarial Patch Attack on Face Recognition Models.},
一、介绍
提出了一种新的统一的自适应对抗补丁(AAP)攻击框架的人脸识别模型的有针对性的攻击。我们的方法综合考虑各种因素,在补丁生成过程中,包括位置,形状和数量。我们的方法自适应地选择补丁的位置和数量的显着性图和K均值聚类的基础上,同时变形补丁的形状和优化扰动。
二、方法
自适应对抗补丁(AAP)攻击框架概述。当输入源和目标人脸图像时,AAP使用显著图和K-Means聚类来自适应地选择最佳的块位置和数量。基于所选择的面片中心,进行迭代形状变形和扰动优化以生成对抗性示例。
关键点1:补丁位置选择
介绍了一种基于显着图的补丁位置选择策略。给定人脸对{xs,xt},我们针对目标攻击的损失函数为Ladv = cos(f(xs),f(xt))。我们反向传播Ladv,以获得梯度Ladv,然后对每个通道的结果进行平方和求和,以获得显著性图,显著图中每个像素的值反映了其对识别的重要性,这意味着可识别区域可以被视为最容易受到攻击的区域。我们计算显着图的密度热图来表示每个区域的密度。选择防御区域的中心作为我们的对抗补丁的中心。
关键点2:补丁形状变形
我们使用具有中心点O和一组长度为r = {r1,r2,.,rn}。通过改变射线的长度r,可以使形状变形。曲面片的形状由曲面片的中心点O和射线长度r决定。一旦确定了形状,我们就可以获得补丁的二进制掩码M。对于图像中的每个坐标(i,j),我们通过高斯消元来计算它是否在由两个相邻射线形成的三角形内。(同论文Shape matters: deformable patch attack.)
关键点3:补丁数量选择
我们的目标是基于显著图选择隐藏区域。然而,在显著性图中也存在几个相对密集的区域。我们自发地想到将补丁分割成多个部分,以覆盖尽可能多的这些区域。为了实现这一点,我们提出了补丁数选择策略,进一步提高了攻击性能。我们利用K-Means聚类自适应地选择补丁的数量。给定k值,以显著图作为权值矩阵,K-Means聚类方法可以将图像中的所有像素划分为k个部分。SSE是指簇内误差平方和,用于评估聚类质量。具体来说,我们计算不同k值下的SSE,并绘制SSE与k之间的曲线。曲线斜率急剧变化的地方,即k的最佳值。在确定bestk的基础上,自动选取对应的bestk聚类中心作为对抗补丁的中心,结合自适应形状变形进行攻击.
三、实验
数据集:LFW数据集和IJBC数据集。
对三个关键点的消融研究
使用单个代理模型
使用多代理模型集成
AAP和SOTA方法对对抗示例平均生成时间的比较结果。
四、超参数的影响
ASR首先随着射线的数量而增加,然后波动和减少。在较小的面片面积下,光线数量的增加给形状建模带来了更大的复杂性,这使得优化变得更加困难。
补丁区域的大小对AAP攻击性能的影响。随着斑块面积的增加,AAP的ASRs显著提高。考虑到大尺寸的补丁区域会使敌对补丁过于显眼并且容易被注意到,选择了一个折衷的补丁区域尺寸。
五、结论
在本文中,我们提出了一个新的统一的自适应对抗补丁攻击框架,有针对性的攻击人脸识别模型,AAP。不同于现有的补丁攻击作品,只集中在补丁生成的一个方面,我们综合考虑多个因素,包括补丁的位置,补丁的形状,补丁的数量。我们的方法自适应地选择补丁的位置和数量的基础上显着图和K-Means聚类,然后联合优化每个补丁的形状和扰动。在不同结构的人脸模型上进行了大量的实验。实验结果表明,我们提出的AAP方法优于SOTA方法。
2629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
