原文链接:https://arxiv.org/abs/2209.13353
一、介绍
我们对不同的补丁生成参数进行了深入的分析,包括初始化,补丁大小,特别是在训练过程中在图像中定位补丁。实验表明,在训练过程中,在一个大小不断增加的窗口内插入一个补丁,与固定位置相比,可以显著增加攻击强度。最好的结果时,得到一个补丁是随机定位在训练过程中,而补丁的位置另外在一批内变化。
对抗补丁:对于图像,攻击者可以在整个图像上产生微小的不可感知的像素变化,或者将可见噪声集中在特定的图像区域中。
在这项工作中,我们专注于对目标检测的消失攻击,并分析了生成通用对抗补丁所涉及的超参数。特别是,我们评估的补丁大小和初始化方法的影响。为了实现位置不可知的补丁,我们评估了三种可能的补丁放置策略:将补丁放置在一个固定的位置,动态窗口的方法,和随机补丁放置。我们进一步评估批内补丁位置的变化的影响。因此,我们的研究提供了调整训练过程,以产生一个位置不变的补丁的建议。
现有的大部分工作集中在将补丁直接放置在对象上,目标是仅抑制该对象。我们的方法更接近Lee和Kolter [9]的方法,因为我们不需要将补丁直接放置在对象上,并且旨在抑制输入图像中的所有对象检测。
二、攻击场景
我们专注于对象消失攻击[4],从而旨在抑制输入图像中的所有对象检测。为了执行攻击,我们通过用补丁像素替换相应的图像像素来将补丁插入到图像中。
攻击对象检测器的损失函数由三个部分组成:分类损失,定位损失和置信度损失(即检测的对象性)。实验表明,后者的损失分量对攻击成功的影响最大。因此,我们用于攻击的损失函数依赖于客观性得分。
动态窗口方法:定义了一个窗口,其中补丁可以出现,并在训练过程中增加其大小。最后,我们建议补丁的位置不仅在批次之间,而且在一个批次内,以确保位置不变性的额外变化。
三、实验
不同大小贴片的ASR。更大的补丁显然提供更大的攻击面,从而导致更成功的攻击。然而,较大的补丁对于现实世界的攻击场景来说不太可能。
补丁初始化
我们评估了五种方法来初始化补丁:三种单色方法(黑色,白色和灰色),噪声产生的均匀分布,噪声产生的正态分布与N(0.5,0.5)。以正态分布初始化的补丁收敛得更快。因此,我们进一步依赖于这种初始化方法。
补丁位置
我们研究了在训练期间定位补丁的三种方法:(1)将补丁放置在图像中心的固定位置,(2)动态窗口方法,以及(3)在整个输入图像上随机放置补丁。
1.当使用相同的位置进行评估时,在固定位置训练补丁收敛很快,并导致95%的高ASR。然而,只要补丁位置仅稍微改变,例如对于一个像素,ASR就基本上降低到约18%。
2.动态窗口方法,我们评估了不同的策略来初始化和增加窗口大小。特别是,从中心开始,然后在每个时期增加大小的动态窗口已经证明了最佳收敛。我们还评估了在训练期间暂时减小窗口大小,以确保在早期训练阶段获得更好的补丁性能。
显示了整个训练过程中补丁中点的位置。固定贴片位置的热图揭示了贴片在整个训练期间显然没有移动。用于动态窗口方法的热图具有插入补丁的越来越大的窗口。最后,随机定位的热图显示,在训练过程中以相等的频率使用了补丁中点的所有可能位置。有趣的是,随着补丁位置从固定变为随机,补丁中的视觉模式变得更加复杂。