本文来自CVPR 2022,作者提出了一种新型光学对抗样本,ShadowAttack。它通过一种普遍且自然的现象——阴影,生成对抗扰动,达到自然而隐密的攻击效果。并且利用了EOP方法和二次优化稳固错误预测
y
~
w
\tilde{y}_w
y~w的方法,来提升对抗样本的鲁棒性。作者在自然环境和测试环境都测试了该方法的效果,交通标志牌的识别实验表明,ShadowAttack方法在LISA和GTSRB两个数据集的攻击成功率达到98.23%和90.47%。
1.Shadow噪声模型
为了利用Shadow生成对抗样本,有两个问题是我们需要考虑的,一是Shadow的位置;二是Shadow的像素值
1.1 Shadow 位置
对与shadow的位置,作者提出找到一个合适的多边形 P V \mathcal{P}_{\mathcal{V}} PV来模拟阴影区域。我们用一些顶点的坐标 V = { ( m 1 , n 1 ) , ( m 2 , n 2 ) , . . . , ( m s , n s ) } \mathcal{V}=\{(m_1, n1), (m_2, n_2), ..., (m_s, n_s)\} V={(m1,n1),(m2,n2),...,(ms,ns)}来表示这个多边形多边形 P V \mathcal{P}_{\mathcal{V}} PV 。这样,假设目标物体的mask是 M \mathcal{M} M, 那么目标物体上的阴影区域就是 M ∩ P V \mathcal{M}\cap \mathcal{P}_{\mathcal{V}} M∩PV。
P V \mathcal{P}_{\mathcal{V}} PV可以是任意适合的多边形,但是根据经验,最简单的三角形就已经足够产生有效的对抗样本了。当然我们可以探索更多的形状,但那样看起来就显得不那么自然。因此,阴影位置需要优化的参数就只有 V = { ( m 1 , n 1 ) , ( m 2 , n 2 ) , ( m 3 , n 3 ) } \mathcal{V}=\{(m_1, n1), (m_2, n_2), (m_3, n_3)\} V={(m1,n1),(m2,n2),(m3,n3)}。
1.2 Shadow 的像素值
想要达到攻击的效果,必须要考虑数据与真实图像之间的差距,这方面EOT方法做的已经很好,它能够产生稳定的攻击样本,即使经过距离,角度,曝光等各种变换时仍然具有对抗性。
本文中需要考虑的另外一个关键点是,真实场景中阴影区域与非阴影区域的像素值关系,然而这种关系是模糊的。为了简化这个问题,我们遵循去阴影领域的基本假设。我们认为阴影仅仅只影响亮度,其他方面不变。因此,我们将图像从RGB空间,转化到LAB空间,并且只考虑与亮度有关的L通道。作者在SBU阴影数据集上的统计也证实了这一假设。阴影区域与非阴影区域的LAB三通道像素值的平均比值分别是0.43,0.99和0.90,并且对应通道L和B的标准差低至0.05和0.72。
基于以上的分析,我们可以通过将 LAB 颜色空间中相应的 L 通道乘以系数 k 来生成图像中的阴影扰动。具体地,给定一个干净的RGB空间图像
x
x
x,我们可以先将图像转化到LAB颜色空间
然后,对给定的多边形
P
V
\mathcal{P}_{\mathcal{V}}
PV和目标对象的mask
M
\mathcal{M}
M,阴影图像
x
a
d
v
x_{adv}
xadv的
(
i
,
j
)
(i, j)
(i,j)位置的像素值,可以按照如下公式计算
最后,将图像重新转换到RGB空间,将整个过程简化为如下公式
SBU阴影数据集中k的分布如下
因此,在我们的方案中,在生成对抗样本之前,我们首先在目标对象上投射随机阴影以测量系数 k。 此外,通过利用 EOT,可以最小化 k 不匹配的影响。
2.优化方案
我们的目的是找到一个阴影区域的顶点
V
=
{
(
m
1
,
n
1
,
(
m
2
,
n
2
)
,
(
m
3
,
n
3
)
)
}
\mathcal{V} = \{(m_1,n_1,(m_2, n_2), (m_3, n_3))\}
V={(m1,n1,(m2,n2),(m3,n3))},利用这个区域模拟阴影,产生shadow图片
x
a
d
v
x_{adv}
xadv。shadow图片具有误导模型
f
f
f的效果。在这个工作中,我们考虑更加具有挑战性的black-box attack场景。我们只知道模型的输入和输出confidence score,并不知道模型结构和内部参数。我们最小化模型输出正确标签的confidence score
其中
y
~
a
d
v
=
arg max
i
f
i
(
x
a
d
v
)
\tilde{y}_{adv} = \argmax_if_i(x_{adv})
y~adv=argmaxifi(xadv),我们希望能够找到最好的坐标序列
V
⋆
\mathcal{V}^{\star}
V⋆,最小化模型判断true label的置信度
f
t
r
u
e
(
x
a
d
v
)
f_{true}(x_{adv})
ftrue(xadv),以此来产生分类错例。
由于我们优化的参数是离散的坐标,在black-box场景下,也无法接触到模型的参数,所以,我们探索使用粒子群(PSO)优化方法,它模拟鸟群如何快速的找到食物,基于群体中个体之间的合作和信息共享,可以在没有梯度的帮助下快速找到有效的解决方案。
在PSO中,我们维护一群粒子,每个粒子都代表着一种优化方案的候选。在解决空间当中,每个粒子都有自己的移动速度。在每一轮迭代中,每个粒子根据当前的个体最优值和全体种群共享的全局最优值来调整他们的速度和位置,最后更新这些最优值。
在整个过程中,需要有一个代价函数,评估每种候选解决方案的质量,这里我们用的是 f t r u e ( ⋅ ) f_{true}(\cdot) ftrue(⋅),预测值 y ~ a d v \tilde{y}_{adv} y~adv不等与真实值 y t r u e y_{true} ytrue,或者达到最大迭代次数,算法终止。为了提升攻击的成功率,我们采用的n-random-restarts策略,如果一次攻击不成功,最多可以随机初始化重启PSO n-1 次。
3.对抗样本的鲁棒性
为了保证在真实物理世界中对抗样本的鲁棒性,我们采用了EOT方法和Prediction stabilization两种方法。
定义一组随机图像变换的组合
T
\mathcal{T}
T,包括下采样、亮度调整、透视变换、运动模糊等。样本进入攻击算法之前,先进过图像变换组合
T
\mathcal{T}
T的转换
通常会采用多次预测,投票得到最终结果的方法,保证预测的稳定性。但是由于实际的扰动空间很小,很难找到多个能够达到攻击效果的阴影。所以先利用PSO优化上式,那么分类器得到了错误的分类类别
y
~
w
\tilde{y}_w
y~w,然后,通过再次运行PSO,优化如下优化目标稳定这个错误的预测
4.实验
作者的攻击实验选择路标分类任务,使用LISA和GTSRB数据集,利用网格搜索的方法,尝试了从0.2 到0.7的阴影系数k值,找到最优的阴影系数k值的设置,为0.43,table1。table2中表明本文的方法只需要执行几十或者上百次查询就可以得到一个有效的对抗样本。
实验设计室内和室外,不同时刻阳光照射下,生成的对抗样本的对抗效果,表明阴影攻击无论在室外自然光照下,还是在室内模拟光照下都能够达到堪比targeted attack的攻击效果,并且模型会以很高的置信度将样本分类到错误的类别。
399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
