©PaperWeekly 原创 · 作者|文永亮
学校|哈尔滨工业大学(深圳)
研究方向|时空序列预测,目标检测
赛题:1000张图,在图上贴补丁,最多不超过10个,导致检测框失效就算得分。
比赛链接:https://tianchi.aliyun.com/competition/entrance/531806/information
数据描述:从 MSCOCO 2017 测试数据集中有条件的筛选了 1000 张图像,这些图像不会包含过多或者过少的检测框(至少会有一个检测框),并且检测框的面积相对于整图不会太小。每张图都被 resize 到500 * 500
的大小,并以.png
的格式存储。
攻击的检测器:Faster RCNN,YOLOv4,另外三个是黑盒。
最近做了一段时间,分享一下思路,我做的分数不高,只是做个入门介绍。
首先介绍一下相关的论文:
Adversarial Patch
DPatch
On Physical Adversarial Patches for Object Detection
Fooling automated surveillance cameras: adversarial patches to attack person detection
Adversarial Patch
1.1 简要思路
没有接触过对抗攻击的可以从这篇入手,这是第一个在对抗攻击中提出 Patch 的。
论文标题:Adversarial Patch
论文来源:NIPS 2017
论文链接:https://arxiv.org/abs/1712.09665
传统的对抗攻击就是在原图的基础上加入肉眼不可见的噪音干扰分类器,用数学的方式定义就是,给定分类器 ,其中 为样本, 为样本自身的类别,假设我们需要误判为的目标类别为 ,想要找到一个与 相近的 最大化