Adversarial Camouflage: Hiding Physical-World Attacks with Natural Styles笔记

最新推荐文章于 2024-04-23 20:42:02 发布
最新推荐文章于 2024-04-23 20:42:02 发布
阅读量1k 收藏 5
点赞数
文章标签: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feng_yue77/article/details/121003518
版权

adstract:提出了新的生成对抗样本的方法(AdvCam),将物理世界的对抗性例子加工和伪装成人类观察者认为合法的风格,具体来说就是AdvCam将大的对抗性扰动转成定制的样式,然后这些样式被隐藏在目标对象或者目标外的背景中

introduction:在图片中加入精心制造的扰动,类似污点,积雪和变色等,就会让DNN检测错误,这种加入的扰动可以伪装成自然的场景下会产生的变化,这个方法也可以生成patch,但是生成的是伪装成产品的patch
在这里插入图片描述
在这里插入图片描述
( 对抗性攻击可以应用于两种不同的设置:1)数字设置,攻击者可以将输入的数字图像直接输入DNN分类器;以及2)物理世界设置,其中DNN分类器仅接受来自摄像机的输入,并且攻击者只能向摄像机呈现对抗性图像。有三个属性可以用来描述对抗攻击:1)对抗强度,代表愚弄dnn的能力;2)对抗性隐蔽性,即对抗性扰动是否能被人类观察者察觉;和3)伪装灵活性,这是攻击者能够控制对抗性图像外观的程度。)
总之,AdvCamis不是一种扰动限制攻击,因此不会固有地受到现有扰动限制技术通常需要的有限扰动量的影响。

Related Work
相比digital attacks(加入了小的扰动或者修改语义属性)来说,physical-world attacks就是考虑到digital attacks在现实世界中可能受到相机噪音,自然因素的影响加入的小扰动不能很好发挥作用而提出的方法(采用大的扰动,但是会丧失隐蔽性stealthiness),本文是采用了一种灵活的(可以让攻击者灵活定义攻击区域或风格)伪装机制,有效地隐藏具有自然风格的对抗性例子,既有隐匿性又是在物理世界的攻击,相关工作还提到了风格转移,在CNN训练中提取风格特征后转移,本文就是利用风格转移方法来做对抗样本

Method
文中找对抗样本的式子为最小化下面这个式子(其中x’是对抗样本,D(x, x’)是一个对抗样本和原始样本的距离矩阵,Ladv(x’)是对抗样本的loss值,其中λ是调整对抗强度的参数)
在这里插入图片描述

文中的方法是用风格转移技术来达到伪装的目的,用对抗性攻击技术来达到对抗的强度。
可以灵活选定风格和区域
文中的对抗损失为:L= (Ls+Lc+Lm) +λ· Ladv(其中Ladv是对抗强度Loss,Ls是生成风格Loss,Lc是保存源图像内容的内容Loss,Lm是用于生成局部平滑区域的平滑Loss),其中括号中的三个损失函数一起用于伪装的目的,是为了加强这个模型的鲁棒性
在这里插入图片描述
详细解释上式:
1.Ls:
在这里插入图片描述
其中Xs是表示风格参考图像,F波浪线是一个特征提取器(例如DNN模型,可以与目标模型不同,文中采用了网络的全部卷积层作为特征提取器),其中的G是F波浪线的Gram matrix(就是一种风格转移的矩阵),即该loss是由对抗性范例x’和样式参考图像x之间的样式度量来定义,在风格转移的同时用了mask来保证只有选定区域是被改变了的
2.Lc:因为做了风格转变之后可能会使原始图像的内容被改变,所以用了这个content loss:
在这里插入图片描述
其中Cl表示用于提取内容的层,文中使用特征提取器网络的更深层作为内容层(为了在深层表征空间也与原始图像非常相似),此处要注意,如果攻击的region没有包含特定内容的话(类似于上面第二张图的香蕉的那种攻击)就不用Lc了,但如果region里有语义信息就要用
3.Lm:通过减少相邻像素的变化来达到,公式为:
在这里插入图片描述
在文中,作者表示如果目标图像和风格图像的表面都已经是平滑的,平滑度损失在提高隐蔽性方面是有限的。但是仍然建议在物理环境中添加它,平滑项对于提高物理环境中对抗性例子的鲁棒性是有用的。
4.Ladv:使用了交叉熵损失,如果是定向攻击就设置成和目标比的loss
在这里插入图片描述

在现实世界条件下的调整
在这里插入图片描述
其中o表示一个随机的背景图片,T表示的是随机的转换(旋转,调整尺寸或者颜色转换)

Experiment
做了和PGD、AdvPatch、RP2对比:
测试了发现AdvCam的方法的隐匿性和PGD相当,且他不受扰动大小的限制,而AdvPatch就比较不隐匿
在这里插入图片描述
Customized examples:通过对特定的地方扰动而使模型误判,文中有对于目标的伪装以及不在目标上的伪装。下图中第一排是on-target,第二排是off-target
在这里插入图片描述
做了消融实验,考虑了伪装区域的形状和位置、伪装损失、对抗力度λ和区域大小
1. 伪装区域的形状和位置:通过实验,作者发现无论伪装区域是在目标物体的中心还是远离目标物体的中心,攻击都能以高置信度成功
2. 伪装损失:Ls是必须的,但是Lc和Lm是可选的,因为他们又是只是使图片看起来视觉效果更好一点点
3. 对抗力度和region size:更大的λ和更大的size攻击效果更好
在这里插入图片描述
Physical-world Attacks:文中是做了AdvCam、AdvPatch、PGD的物理世界的攻击(选了3个物理世界的场景),把他们攻击后的图片打印下来然后在不同的位置和角度拍照,实验表明AdvCam的攻击更加具有隐匿性和灵活性

Conclusion
本文提出了AdvCam,结合了神经风格转移和对抗攻击技术,使对抗样本更加隐匿和灵活,但是目前还需要手动选择攻击区域和攻击目标。

本人初学者,如有错误请指出,谢谢!

峰峰封
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Adversarial Camouflage: Hiding Physical-World Attacks with Natural Styles》学习笔记
kkx2218813的博客
04-10 2518
摘要 作者提出了一种灵活地对抗攻击的方法:AdvCam,用来产生和伪造对抗样本。AdvCam可以生成较大的扰动,可自定义攻击区域和风格。 它对评估DNN网络抵抗来自物理世界的干扰非常有用。 在数字和物理世界场景中进行的实验表明,AdvCam伪造的对抗样本具有很高的隐蔽性,在欺骗最新的DNN图像分类器时仍然有效。 一些概念 对抗攻击有两种不同的应用场景: 1.数字情况(digital setting...
Adversarial patch camouflage against aerial detection
qq_32925101的博客
01-17 668
Adversarial Patch Camouflage against Aerial Detection [Adversarial Patch Camouflage against Aerial Detection](Adversarial Patch Camouflage against Aerial Detection) 关键字:Adversarial patch attack aerial target detection camouflage drone surveillance 针对大型军事目
Anti-Adversarially Manipulated Attributions for Weakly and Semi-SupervisedSemantic Segmentation
最新发布
sanguine__的博客
04-23 716
CVPR 2021
【论文笔记】Robust Physical-World Attacks on Deep Learning Visual Classification
kaguya1004的博客
02-03 894
一篇之前看的时候蛮顺但现在实在看不明白的文章=-=目前为止物理可实现攻击一般是指在实物上动手脚,让分类器对实物的图片误分类。 摘要 最近的研究表明,最先进的深度神经网络(DNNs)很容易受到来自输入的小幅度扰动的攻击。鉴于新兴物理系统在安全关键情况下使用DNN,对抗性示例可能误导这些系统并导致危险情况。因此,理解物理世界中的对抗性例子是开发弹性学习算法的重要一步。我们提出了一种通用的攻击算法,鲁棒物理扰动(RP2),在不同的物理条件下产生鲁棒的视觉对抗扰动。利用道路标志分类的实际案例,我们表明,在各种环境条
【总结】Robust physical-world attacks on deep learning models
qq_37903108的博客
07-12 1685
论文笔记——Adversarial Patch(对抗补丁)
WwwwHy搞的烂活
10-24 5298
摘要 We present a method to create universal, robust, targeted adversarial image patches in the real world. The patches are universal because they can be used to attack any scene, robust because they work under a wide variety of transformations, and target.
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
10-13
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
Adversarial PoseNet: A Structure-aware Convolutional Network for Human Pose Estimation(2017)
01-06
Abstract 1、提出a novel structure-aware convolutional ...3、Conditional Generative Adversarial Networks(GANs)训练策略 目标:If the pose generator(G) generates results that the discriminator fails to dist
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗性攻击以生成对抗性示例。...adversarial_images = atk ( images , labels ) :warning: 预防措施 在用于攻击之前,应使用transform [to.Tensor()]将所有图像缩放为
PyTorch-Adversarial-示例:对CIFAR-10和MNIST的对抗攻击
02-14
PyTorch顾问实例 对CIFAR-10和MNIST的对抗攻击。 这些笔记本使用生成对抗示例,以攻击PyTorch模型。 将来可能会针对更多数据集提供更多方法。
PyTorch-Adversarial-Attack-Baselines-for-ImageNet-CIFAR10-MNIST:ImageNet,CIFAR10和MNIST的PyTorch对抗性攻击基准(最先进的攻击比较)
03-08
针对ImageNet,CIFAR10和MNIST的PyTorch对抗性攻击基准 ImageNet,CIFAR10和MNIST的PyTorch对抗性攻击基准(最先进的攻击比较) 该存储库提供了用于评估各种对抗攻击的简单PyTorch实现。 该存储库显示每个数据集的...
AdvCAM:针对弱和半监督语义细分的反职业性归因(CVPR 2021)
05-03
弱和半监督语义分割的反专业操作归因 输入图像 初始CAM 对抗式攀登的连续地图 针对弱和半监督语义分割的反职业性操纵归因的实现,李贞博,金恩吉和孙大阳,CVPR2021。[] 安装 我们请参考的官方实现。 该存储库已在Ubuntu 18.04上经过测试,并使用Python 3.6,PyTorch 1.4,pydensecrf,scipy,chaniercv,imageio和opencv-python。 用法 步骤1.准备数据集 下载PASCAL VOC 2012基准: 。 步骤2.准备经过预先训练的分类器 本文使用的预训练模型: 。 您还可以根据训练自己的分类器。 步骤3.获得PASCAL VOC train_aug图像的伪地面真伪蒙版并对其进行评估 bash get_mask_quality.sh 步骤4.训练语义分割网络 要训​​练DeepLab-v2,我们参考 。 但是,此仓
AdvCam-Hide-Adv-with-Natural-Styles
05-18
AdvCam隐藏具有自然风格的Adv “广告迷彩:以自然风格掩盖物理世界的攻击”的代码 安装 依存关系 cuda == 9.0.176 cudnn == 7.0.5 我们强烈建议使用conda 。 conda create -n advcam_env python=3.6 source activate advcam_env 激活虚拟环境后: git clone https://github.com/RjDuan/AdvCam-Hide-Adv-with-Natural-Styles cd AdvCam-Hide-Adv-with-Natural-Styles pip install --user --requirement requirements.txt 下载VGG19.npy下的文件夹/ vgg19 注意:我们在代码中使用tensorflow v1,在测试时与pytho
【信息量判别块:语义监督:GAN:IVIF】
weixin_43690932的博客
11-26 685
仅供自己参考
face_adv 论文阅读
qq_20260541的博客
06-09 135
face_adv 论文阅读
图像风格迁移cvpr2020_CVPR2020 | 对抗伪装:如何让AI怀疑人生!
weixin_35830270的博客
12-23 502
原标题:CVPR2020 | 对抗伪装:如何让AI怀疑人生!本文介绍的是CVPR2020论文《Adversarial Camouflage: Hiding Physical-World Attacks with Natural Styles》,作者是来自澳大利亚Swinbourne大学的段然杰。作者 | 段然杰编辑 | 丛 末 论文地址:https://arxiv.org/abs/2003.087...
CAM的三个阶段
jingtingxu369的博客
07-01 497
ir net和same程序都是三步走: 1.训练分类网络 2.make_cam 3.eval_cam
CVPR2018——图像反射去除基于感知损失
X1009190387的博客
05-28 1669
**摘要: ** 一、简介   来自玻璃的反射无处不在,但图像中并不希望出现这种情况,其会降低图像质量。去除反射有助于复原视觉内容,是计算机视觉的重要研究领域。   令I∈Rm×n×3\bm I \in \bm R^{m \times n \times 3}I∈Rm×n×3是存在反射的输入图像,其可以通过传播图像T\bm TT与反射图像R\bm RR的和近似建模:I=T+R\bm I = \bm T + \bm RI=T+R。反射去除的目标是给定的I\bm II复原传播图像T\bm TT,这是一个没有约束
esrgan: enhanced super-resolution generative adversarial networks
06-28
ESRGAN是增强型超分辨率生成对抗网络的缩写,它是一种深度学习模型,用于将低分辨率图像转换为高分辨率图像。它使用生成对抗网络(GAN)的方法,通过训练生成器和判别器来提高图像的质量。ESRGAN是目前最先进的超...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值