《Boosting the Transferability of Video Adversarial Examplesvia Temporal Translation》AAAI论文

已于 2022-05-11 19:06:51 修改
阅读量723 收藏
点赞数
分类专栏: 基于视频的对抗样本 文章标签: 深度学习 人工智能 对抗样本 黑盒攻击
于 2022-05-11 00:08:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ligenzhi131619/article/details/124682696
版权

Abstract

        尽管基于深度学习的视频识别模型取得了显著的成功,但它们很容易受到通过在纯净的视频样本上添加人类感觉不到的干扰而产生的对抗样本的影响。正如最近的研究所表明的那样,对抗样本是可迁移的,这使得在现实应用中进行黑盒攻击是可行的。然而,大多数现有的对抗攻击方法在攻击其他视频模型时具有很差的可迁移性,基于迁移的视频模型攻击仍有待探索。为此,我们建议提高视频识别模型中黑盒攻击的视频对抗样本的可迁移性。通过广泛的分析,我们发现不同的视频识别模型依赖于不同的区分时间模式,导致视频对抗样本的可转移性较差。这促使我们引入了一种时态转换攻击方法,它优化了一组时态转换视频剪辑上的对抗性干扰。通过在转换的视频上生成对抗样本,生成的对抗样本对被攻击的白盒模型中存在的时间模式不那么敏感,因此可以更好地迁移。在Kinetics-400数据集和UCF-101数据集上的大量实验表明,我们的方法可以显著提高视频对抗样本的可迁移性。对于针对视频识别模型的基于迁移的攻击,Kinetics-400和UCF-101的平均攻击成功率分别为61.56%和48.60%。代码可从 https://github.com/zhipeng-wei/TT找到。

Introduction

        根据威胁模型,对抗性攻击可分为两类:白盒攻击和黑盒攻击。在白盒设置中,对手可以完全控制和访问DNN模型,包括模型架构和参数。在黑盒设置中,对手只能访问DNN的输出。因此,在黑盒环境下攻击模型更具挑战性。最近的研究表明,对抗样本具有可转移性,因此可以使用白盒模型生成的对抗样本执行黑盒攻击。因此,为了提高黑盒攻击的成功率,已经有了提高对抗样本可迁移性的工作(Dong et al.2018;Xie et al.2019)。然而,现有的研究侧重于提高图像对抗样本的可迁移性,而视频对抗样本的可迁移性尚未被探索。

        本文研究了视频对抗样本的可迁移性,以实现视频识别模型中的黑盒攻击。这项任务的主要挑战来自这样一个事实,即生成的对抗样本容易过拟合白盒模型,并且对于其他黑盒模型的可转移性较差。与图像相比,视频具有额外的时间维度,赋予视频丰富的时间信息来描述动态线索(例如,运动)。为了捕捉如此丰富的时间信息,设计了各种基于3D卷积神经网络(CNN)的视频识别模型(例如,I3D(Carreira and Zisserman 2017)、SlowFast(Feichtenhofer et al.2019))。直观地说,视频识别模型捕获的区分性时间模式可能因不同的体系结构而异。由于生成的对抗样本与白盒模型的这种模式或梯度高度相关,直接利用白盒模型生成的对抗视频样本攻击其他黑盒视频识别模型可能会导致不满意的结果。 

        为了提高视频对抗样本的可迁移性,本文提出了一种时间转换方法以生成在不同视频模型中具有良好通用性的对抗样本 。其关键思想是在一组经过时间转换的视频片段上优化对抗样本。这样,视频对抗样本将对白盒模型的鉴别性的时间模式不那么敏感,并且具有更高的可转移性。我们的方法受(Dong等人,2019)的启发,该方法在图像上采用空间转换,以减轻模型之间不同区分区域的影响,并提高图像对抗样本的可迁移性。 

        目标攻击是指攻击者试图将模型误导到真实类以外的特定类的攻击。 非目标攻击是指攻击者试图误导模型以预测任何错误类的攻击。 

        

Transfer-based的方法可以从以下五个方向来进行分类:

  1. data augmentation,即对输入做变换,包括旋转、平移等操作
  2. 修改迭代时的梯度生成方法,比如借助momentum、Nesterov等方法
  3. 修改loss,比如使用特征空间的loss,而不是输出层对应的loss
  4. model ensemble,结合多个模型的输出来做攻击
  5. model specific,对特定的模型结构做分析,修改不同结构的梯度权重

 图一:给定一个视频片段,应用时间移位来生成一组视频片段。然后,将从这些时间转换的视频片段中获得的梯度线性组合,形成增强梯度。由于时间转换减轻了视频识别模型之间不同辨别性时间模式的影响,因此由增强梯度生成的对抗视频样本对白盒模型的判别性时间模式不太敏感,因此具有更高的可迁移性。

        图1给出了所提出方法的概述。给定一个视频片段,应用具有移位长度L的时间平移来生成一组视频片段。注意,时间平移可以沿时间轴向前和向后执行,因此我们可以获得长度为2L的转换的视频片段。与原始视频片段一起,这些2L+1的视频片段随后被输入到白盒模型中,以获得相应的转换梯度,即损失函数相对于视频片段的梯度。为了获得增强的梯度,将转换后的梯度移回原始时间序列,并通过权重矩阵线性组合。最后,生成的增强梯度用于生成对抗样本,这些对抗样本能够在不同的识别模型中推广。我们简要总结了我们的主要贡献如下: 

1、我们研究了视频中基于迁移的攻击,并提出了一种时态转换攻击方法来提高对抗样本的可迁移性。据我们所知,这是关于视频识别模型中基于迁移的黑盒攻击的首次工作。 

2、我们对不同模型的判别性时间模式的相关性进行了深入分析,并通过实证证明了视频模型之间的判别性时间模式是不同的。基于这一观察,我们结合时态转换视频的梯度生成具有更高可迁移性的对抗样本。 

3、我们使用Kinetics-400 数据集和UCF-101数据集训练的六个视频识别模型进行实证评估。大量实验表明,我们提出的方法有助于大幅度提高视频对抗样本的可迁移性。 

Methodolog

给定一个视频样本x,y为

ligenzhi131619
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Boosting the Transferability of Adversarial Samples via Attention
sinat_36059653的博客
04-16 786
Boosting the Transferability of Adversarial Samples via Attention 文章目录Boosting the Transferability of Adversarial Samples via Attention问题之前的攻击方法TAPATA 论文收录于CVPR 2020 问题 作者将对抗攻击分为白盒攻击黑盒攻击 attack: white-box attack black-box attack query-based attack: 根据返回
AAAI 2022 论文列表
热门推荐
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
论文那些事—Boosting the Transferability of Adversarial Samples via Attention
shuweishuwei的博客
12-07 2430
Boosting the Transferability of Adversarial Samples via Attention(CVPR2020,ATA) 1、摘要 本文主要以提高对抗样本的迁移性为目的,黑盒攻击在真实情况中才最常发生。首先关于注意力机制,粗略的描述就是“你正在做什么,你就将注意力集中在那一点上”。本文也是首次将注意力机制运用在对抗样本上,注意力主要由反向传播的梯度构成。 本文贡献主要有三个: 提出了一种新的策略来提高对抗性图像的可转移性。它的特点是引入模型注意来正则化对抗噪
《StyLess: Boosting the Transferability of Adversarial Examples》论文解读
red_guy的博客
11-28 742
对抗样本具有迁移性,所以可以攻击不知道结构和参数的model限制对抗样本迁移性的原因:现在的transferable attack在优化过程中没有区分style和content特征我们提出了我们使用stylized networks作为,通过扰动自适应实例规范化来编码不同的风格特征。surrogate model(替代模型):通常是已知且可访问的深度神经网络模型,攻击者使用这个模型来生成对抗性扰动或样本。然后利用它们去攻击其它的黑箱模型。本文的方法可以防止使用。
【ICIP2022】提高对抗攻击的迁移性(在注意力空间下扰动的多样性生成)
B站搜索 馆主君晓 欢迎关注~
08-25 3095
这是发布在会议上的一篇文章,作者是韩国科学技术研究院,论文原文:https://arxiv.org/abs/2208.05650。我们知道在2D对抗攻击的领域,目前还能够做的就是提升对抗攻击的迁移性,也就是在源模型中生成的对抗样本,对于其它模型而言同样具有攻击性,也就是能够让其它模型判断失误。但是目前的问题是,生成的对抗样本对于源模型而言,攻击成功率100%,但是对于黑盒模型而言,其攻击成功率就大打折扣。
【对抗攻击论文笔记】Improving Transferability of Adversarial Examples with Input Diversity
ji_meng的博客
05-29 913
论文概述 idea method 详细内容 摘要 大多数现有的对抗性攻击仅在具有挑战性的黑盒设置下取得相对较低的成功率,其中攻击者不了解模型结构和参数。为此,我们建议通过创建不同的输入模式来提高对抗性示例的可迁移性。我们的方法不是仅使用原始图像生成对抗样本,而是在每次迭代时对输入图像应用随机变换。 ImageNet 上的大量实验表明,所提出的攻击方法可以生成对抗性示例,这些示例可以比现有基线更好地转移到不同的网络 1.介绍 最近提出了几种方法 [11, 36, 16] 来寻找对抗样本。一般来说,这些攻击可以
对抗攻击与防御(2022年顶会顶刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
算法探索之路
03-19 4329
2022年 关于对抗攻击跟防御的全部顶会、顶刊论文
AAAI 2021】全部接受论文列表(五)
yinizhilianlove的博客
01-14 7413
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2021-01-14 马上春节了,疫情又卷土而来,希望大家注意防护,爱护自己的身体 AAAI 2021论文接收情况   人工智能顶级会议AAAI 2021 已经给出接收论文列表,共有1692篇论文被接收,录取率21%,比去年的20.6%稍微有些上升。单从数量上看,也比去年多了101篇。本届 AAAI 2021已经是第35 届会议了。据 AAAI 2021官方网站,这个 2021年首个人工智能顶会将全.
AAAI2021论文列表(中英对照)
dovings的博客
07-04 8000
AAAI2021论文列表(中英对照)
The Evolution of Boosting Algorithms From Machine Learning
03-17
The Evolution of Boosting Algorithms From Machine Learning
IEEE 1857: Boosting Video Applications in CPSS
02-21
IEEE 1857: Boosting Video Applications in CPSS
Boosting the margin—— a new explanation for the effectiveness of voting methods.pdf
03-04
Boosting the margin—— a new explanation for the effectiveness of voting methods.pdf,比较好的一篇文章,大家需要的可以看看
陈天奇xgb论文《XGBoost: A Scalable Tree Boosting System》
09-20
widely by data scientists to achieve state-of-the-art results on many machine learning challenges. We propose a novel sparsity-aware algorithm for sparse data and weighted quantile sketch for ...
Gradient-Boosting-for-classification-of-the-Titanic-dataset
04-22
泰坦尼克号数据集分类的梯度提升该项目提供了关于线性回归和决策树的梯度提升的描述,以及第n个决策树的预测如何依赖于其之前的预测。 还描绘了该原理的图形表示。 然后,针对泰坦尼克号数据集开发了梯度增强分类器...
GCN-LSTM实现时空预测
weixin_44992737的博客
07-10 184
GCN-LSTM实现交通流量预测,时空预测,
基于深度学习的点云降噪
最新发布
weixin_42605076的博客
07-10 832
基于深度学习的点云降噪是一种利用深度学习模型处理三维点云数据,以去除噪声并恢复点云的原始形状和细节的方法。点云数据广泛应用于自动驾驶、机器人导航、3D扫描和虚拟现实(VR)等领域,因此高质量的点云数据处理至关重要。
基于深度学习的高压线路巡线
weixin_42605076的博客
07-07 596
基于深度学习的高压线路巡线是一项通过无人机、机器人或固定摄像头等设备采集图像和视频数据,并利用深度学习技术自动检测和分析高压线路状态的技术。这项技术旨在提高巡检效率、降低人工成本和提升电力系统的安全性。
37.深度学习中的梯度下降法及其实现
qq_41238579的博客
07-10 215
梯度下降法(Gradient Descent)是一种常用的优化算法,广泛应用于机器学习和深度学习中。其基本思想是通过迭代更新参数,使得损失函数逐步减小,最终找到最优解。常见的梯度下降法包括随机梯度下降(SGD)、动量法(Momentum)、自适应学习率方法(Adagrad、RMSprop、Adadelta)和Adam等。本文通过代码实现详细展示了梯度下降法在二维和三维空间中的应用,并对比了多种优化器的效果。通过这些实践,我们能够更直观地理解梯度下降法的工作原理及其在深度学习中的应用。
An introductory tutorial and a Stata plugin
03-17
作者Matthias Schonlau在RAND Corporation撰写了这篇论文,它详细讲解了Boosting这种新兴的数据挖掘技术,该技术在预测准确性上表现出色。文章不仅概述了Boosting的基本原理,还引入了一个新的Stata命令`boost`,该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值