00 Abstract
论文指出,好的扰动图像,应该既有很强的对抗能力,又在视觉上不易察觉。传统的扰动通常在RGB空间上通过限制 Lp范数的边界来保持不易察觉。
而本文放弃了传统的限制方法,改用最小化感知色彩距离的方法来限制扰动,提出了两种方法:PerC-C&W、PerC-AL(Perceptual Color distance Alternating Loss)。其中,第二种方法——Perc-AL在优化 classification loss 和 perceptual color difference 时更加高效。实验证明,论文的方法比传统的 Lp 方法具有更好的鲁棒性和可迁移性,并且证明了 PerC 距离能够给现有的顶尖的基于结构的扰动图像方法提供额外的价值。
01 Introduction
对于图像,扰动越大,扰动图像的对抗能力就越好,但这同时也关系着视觉上的可察觉性。
本文中,作者提出使用 PerC distance 作为评价标准生成对抗样本,这样就不需要严格限制扰动在RGB空间的 Lp 范数。
PerC 扰动更加不易察觉,尤其是在饱和色彩的平滑区域。PerC 通过有策略的将扰动分布在RGB各个色彩通道之中,因此它允许我们隐藏较大的RGB空间内扰动,使得人眼不易察觉。论文中基于PerC的方法会大幅提高扰动图像的 Lp 范数。这能保证在不易察觉的同时拥有更强的对抗能力。如果RGB空间中相对较大的变化导致较小的感知色差,它们可能会保持不引人注意。
论文使用的 PerC distance 为CIEDE2000,论文使用CIELAB 色彩空间的更精确的极坐标形式——CIELCH。
作者发现在两种情况下,PerC 方法尤其重要:
- 当我们需要生成高置信度的对抗样本时。
- PerC 方法可以与现有的结构化方法进行结合来提高不易察觉性。
总结一下,本文的贡献如下:
- 对于使用 PerC 距离来隐藏大RGB扰动的深入研究。
- PerC-C&W:PerC 与 C&W 的联合生成对抗图像的优化方法。
- PerC-AL:交替优化损失函数,包括 classification loss 和perceptual color difference。解耦后更加高效。
- 实验结果证明 PerC 扰动可以和结构化方法结合来提高不易察觉性。
02 Background on Perceptual Color Distance
CIEDE2000 像素级色彩感知距离:
其中 L为 Lightness,C 为 Chroma,H 为 hue。具体参数介绍详见论文。
03 Related Work
一些工作使用一些现有的结构感知度量方法来对扰动进行隐藏:
- 结构相似度 structural similarity(SSIM)
- Wasserstein distance
- 直接在 high-variance 的图像区域进行更多的扰动
但这些方法在不能很好的处理平滑区域,而这些区域经常会在真实世界的图像中出现。相比之下,论文的 PerC 扰动更加合适。
04 Proposed approaches
PerC-C&W
原 C&W attack:
PerC-C&W:
其优化问题主要是通过二分搜索来优化参数 λ 。
PerC-AL
虽然 PerC-C&W 有着简洁的表达式,但实际操作中它的联合优化面临困难。
PerC-AL 方法开始于一个原始图像 x 和初始化为 0 的扰动 δ ,然后不断更新迭代扰动来生成对抗图像。每次迭代中,要么增大扰动来获得更好的对抗效果,要么减小 PerC distance,取决于是否现在的扰动图像能否产生对抗效果。最后对输出的对抗图像还需进行裁剪,限制在[0,1]之间,并量化为255级。
05 Experiments
本文仅为个人论文笔记,若理解有误,敬请指出!多谢!
700
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
