Segment and Complete: Defending Object Detectors against Adversarial Patch Attacks with Robust Patch

最新推荐文章于 2024-03-20 17:12:30 发布
最新推荐文章于 2024-03-20 17:12:30 发布
阅读量475 收藏 1
点赞数
分类专栏: 对抗攻击 文章标签: 人工智能 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49171105/article/details/126512996
版权

Segment and Complete: Defending Object Detectors against Adversarial Patch Attacks with Robust Patch Detection

文章链接:https://openaccess.thecvf.com/content/CVPR2022/papers/Liu_Segment_and_Complete_Defending_Object_Detectors_Against_Adversarial_Patch_Attacks_CVPR_2022_paper.pdf

在本文中,我们提出了分段和完整防御(SAC),这是一种通过检测和去除对抗性补丁来保护对象检测器免受补丁攻击的通用框架。我们首先训练一个补丁分割器,它输出补丁掩码,提供对抗补丁的像素级定位。然后,我们提出了一种自我对抗训练算法来增强补丁分割器的鲁棒性。此外,我们设计了一种鲁棒的形状完成算法,如果补丁分割器的输出在真实补丁掩码的一定汉明距离内,则保证从图像中删除整个补丁。

主要贡献

  1. 我们提出了一种通过patch分割来防御目标检测器免受patch攻击的通用方法Segment and Complete和一种鲁棒的形状完成算法。对数字攻击和物理攻击进行评估。
  2. SAC在非自适应攻击和自适应攻击下均具有较好的鲁棒性,且对清晰图像的性能不降低,并能很好地推广到不可见的形状、攻击预算和不可见的攻击方法。
  3. 我们提出了COT掩码数据集,这是第一个公开可用的数据集,提供物理对抗补丁的像素级注释。

准备工作

目标检测器

本文采用Faster R-CNN作为基本的一项检测器。在第一阶段,使用区域提议网络(RPN)生成类无关的候选对象边界框,称为区域提议;
在第二阶段,使用Fast R-CNN网络输出一个对象类,并细化每个区域提议的边界框坐标。
Faster R-CNN的总损失为RPN与Fast R-CNN的边界盒回归和分类损失之和:

攻击公式化

文章主要考虑针对目标检测器图像和位置的无目标补丁攻击。通过求解以下问题来找到一个对抗补丁:

 h:目标检测器

A(x,l,P):一个“patch applying function”,添加P到l处的x上面

y:对象的真实类和x中对象的边界框标签。

采用PGD攻击来求解Eq2:

 方法

SAC通过检测并去除输入图像x中的对抗patch来防御目标检测器对对抗补丁的攻击。

SAC的流程:首先由一个补丁分段器生成初始补丁掩码,然后使用一个健壮的形状完成算法生成最终的补丁掩码。将被掩码图像送入基本对象检测器进行预测

 Patch Segmentation

训练和预生成对抗图像

首先利用等式2攻击基础目标检测器,生成一组对抗图像Xadv,然后利用预生成的对抗图像训练PS_{\theta}PS_{\theta}是一个用\theta参数化的补丁分割器)

 M代表真实的掩码,PS_{\theta}(x_{adv})是输出概率图,采用二进制交叉熵损失函数。

Self adversarial training

攻击PS_{\theta}来生成对抗补丁\widehat{P}_{s-AT}(x,l)

通过求解下式, 在自我对抗训练中训练PS_{\theta}

 \tau:是允许补丁位置的集合   D:图像分布,\lambda控制干净图像与对抗样本的权重

用等式2生成的patch也可以训练PS,与等式2相比,等式6不需要外部标签,因为真实的掩码M由l确定。
等式7以不需要外部标签的方式训练补丁分割器来制作对抗样本和训练模型。
它加强PS来检测图像中的“patch-like”区域。并且等式6没有涉及物体检测器h,使得PS物体检测器是不可知性 的,此外,PS的模型尺寸远小于h,加快了优化速度。

Shape Completion

Desired Properties

采用汉明距离来衡量真实的掩码M 补丁分割器的输出\widehat{M}_{PS}之间的差异。为了提供合适尺寸的掩码,将这个居于与真是掩码的总量级进行比较

 

 \left \| M \right \|_{H}:=d_{H}(0,M)

Proposed Method

如果ground-truth patch的大小已知,那么我们可以其中,设已知M是一个s × s patch,设M^{s,(i,j)}表示左上角为(i,j)的s × s patch的掩码,则最小程度满足式(8):通过构造最小地满足式(8)。

 \left \| M \right \|_{H}=s^{2}.也就是,我们必须覆盖任何s x s 的补丁M^{s,(i',j')},距离观测到的掩码\widehat{M}_{PS}

γ-近的每一个像素, 因为任何这样的补丁实际上可能是M:一个只包含这些像素的掩码因此是满足Eq.(8)所需的最小掩码。

 Unknown Patch Sizes

如果过不知道s,而是有一组可能的补丁大小S,那么可以通过简单地合并为s的每个可能值生成的所有掩码来满足等式8

 Unknown Patch Shapes

文章还提出了APRICOT-Mask 这一数据集,该数据集为APRICOT中的对抗性补丁提供了分割掩码和更准确的包围盒,分割掩码由三个标注器使用Labelbox[2]对其进行标注,并手动审核以确保标注质量。然后根据分割掩码自动生成边界框。

数据集连接:Apricot Mask – AIEM
 

 

AttributeError: ‘LTP‘ object has no attribute ‘seg‘解决方案
weixin_43178406的博客
04-19 8万+
本文主要介绍了AttributeError: ‘LTP’ object has no attribute 'seg’解决方案,希望能对使用LTP的同学门有所帮助。 文章目录 1. 问题描述 2. 解决方案
AttributeError: ‘LTP‘ object has no attribute ‘sent_split‘解决方案
热门推荐
weixin_43178406的博客
04-18 5万+
本文主要介绍了AttributeError: ‘LTP’ object has no attribute 'sent_split’解决方案,希望能对使用LTP的同学门有所帮助。 文章目录 1. 问题描述 2. 解决方案
麻省理工Hadi Salman新作:ViT架构可以有效抵御图像补丁攻击
Paper weekly
11-03 504
©PaperWeekly 原创 ·作者 | 张一帆学校 | 中科院自动化所博士生研究方向 | 计算机视觉本文是 MIT 大牛 Hadi Salman 于 10 月 11 放在 arXiv...
【论文阅读】CVPR2022 || Segment and Complete: Defending Object Detectors against Adversarial Patch
qq_45822394的博客
02-24 345
目标检测在许多安全关键系统中起着关键作用。对抗性补丁攻击很容易在物理世界中实施,对最先进的目标检测器构成严重威胁。为对象检测器开发针对补丁攻击的可靠防御至关重要,但研究不足。在本文中,我们提出了分段和完整防御(SAC),这是一种通过检测和去除对抗性补丁来保护对象检测器免受补丁攻击的通用框架。我们首先训练一个补丁分割器,它输出补丁掩码,提供对抗补丁的像素级定位。然后,我们提出了一种自我对抗训练算法来增强补丁分割器的鲁棒性。此外,我们设计了一种鲁棒的形状完成算法,如果补丁分割器的输出在真实补丁掩码的一定汉明距离
论文笔记——Adversarial Patch(对抗补丁)
WwwwHy搞的烂活
10-24 6104
摘要 We present a method to create universal, robust, targeted adversarial image patches in the real world. The patches are universal because they can be used to attack any scene, robust because they work under a wide variety of transformations, and target.
【论文笔记】(De)Randomized Smoothing for Certifiable Defense against Patch Attacks
weixin_40653850的博客
07-26 800
例如,对于CIFAR-10上的5×5补丁攻击,我们的方法实现了高达57.6%的认证精度(分类器的清洁精度约为83.8%),而现有方法的认证精度最多为30.3%(分类器的清洁精度约为47.8%)。我们的可证明的稳健分类方案是基于随机平滑,这是一类可证明的稳健分类器,所有这些方法都依赖于一个类似的机制——如果有足够大的一部分来自x的噪声图像被归入某个类别c,那么在高置信度下,多个来自x0的噪声图像也将被分配到这个类别。这种方法的优势在于,利用块攻击的结构特征,使用块代替点,降低相交到对抗补丁的概率。...
补丁 检测系统_戏耍YOLO?利用对抗“补丁”在AI摄像头下隐身(附源码与PDF)
weixin_39526238的博客
12-18 518
关注微信公众号:人工智能前沿讲习重磅干货,第一时间送达在具有人体检测功能的AI摄像头下“隐身”?听起来不可思议,但是学者们可不这么认为。比利时学者Simen Thy 4月18日发表了一篇文章Fooling automated surveillance cameras: adversarial patches to attack person detection,利用对抗“补丁”攻击YOLO检测算法...
Segment and Complete Defending Object Detectors against Adversar
01-04
Segment and Complete Defending Object Detectors against Adversarial Patch Attacks with Robust Patch Detection_通过鲁棒补丁检测,分段和完整防御目标检测器,以抵御敌对补丁攻击.pdf
[论文笔记] SegAN: Adversarial Network with Multi-scale L1 Loss for Medical Image Segmentation
xby的学习笔记存档处
03-25 3899
文章于2017年6月提交到Arxiv,投稿于 Neuroinformatics (2018),Published online: 3 May 2018 作者单位:Department of Computer Science and Engineering,Lehigh University 文章截止2019.3.25的引用量为50 文章代码见github 首先,作者提出了一个问题:在医学图像分割...
研究 - IMPDP [TRANSFORM=segment_attributes:n] [remap_tablespace] 2参数间影响关系
cixiaobi8104的博客
08-22 3911
注释: 相信一些公司习惯将真实的表数据和索引不在一个表空间; ...
基于对抗补丁的可泛化的Grad-CAM攻击方法.docx
05-30
基于对抗补丁的可泛化的Grad-CAM攻击方法.docx
对抗样本(论文解读十一):PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning
Enjoy_endless
05-08 1858
PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning Chenglin Yang, Adam Kortylewski, Cihang Xie, Yinzhi Cao, and Alan Yuille Johns Hopkins University 通过强化学习实现一个基于纹理的黑盒攻击 这是一篇比较新的对抗块攻击的相关文章,发布于arxiv:2020.04.12, 头几天刚在组会上分享了相关论文,今天在这里简单分
《Adaptive Adversarial Patch Attack on Face Recognition Models》论文分享(侵删)
最新发布
DTGshaodow的博客
03-20 1742
我们反向传播Ladv,以获得梯度Ladv,然后对每个通道的结果进行平方和求和,以获得显著性图,显著图中每个像素的值反映了其对识别的重要性,这意味着可识别区域可以被视为最容易受到攻击的区域。在本文中,我们提出了一个新的统一的自适应对抗补丁攻击框架,有针对性的攻击人脸识别模型,AAP。不同于现有的补丁攻击作品,只集中在补丁生成的一个方面,我们综合考虑多个因素,包括补丁的位置,补丁的形状,补丁的数量。我们的方法自适应地选择补丁的位置和数量的显着性图和K均值聚类的基础上,同时变形补丁的形状和优化扰动。
对抗性补丁——day54(second)Towards-a-physical-world-adversarial-patch-for-blinding object detection models
想太多的学习日志
11-03 1496
在这项工作中,我们成功地攻击了YOLOv3和更快的r-cnn,这是两种最先进的对象检测模型。我们的对抗性攻击是通过在原始图像中添加对抗性补丁来执行的。我们提出了一种对抗性攻击框架,该框架可以为特定类别的对象生成对抗性补丁。我们通过最小化精心设计的检测分数来抑制检测模型对目标对象的推断。我们的攻击可以成功隐藏目标对象类 “人” 或对象检测模型中的任何类。
论文笔记:Perceptual-Sensitive GAN for Generating Adversarial Patches
TokarYann的博客
04-02 2077
题目:Perceptual-Sensitive GAN for Generating Adversarial Patches 作者:Aishan Liu, Xianglong Liu, Jiaxin Fan 发表:AAAI-19 关键词:对抗样本、对抗补丁、GAN 效果图: 摘要 这篇论文介绍的与其说 ...
【论文笔记】Patch-wise Attack for Fooling Deep Neural Network & Patch-wise++ Perturbation Targeted Attacks
WwwwHy搞的烂活
04-14 1012
【ECCV2020】Patch-wise Attack for Fooling Deep Neural Network & Patch-wise++新版本Patch-wise++ Perturbation for Adversarial Targeted Attacks 目前的研究方向是对抗样本、投毒攻击等等,所以大部分的论文笔记都是对抗样本方向的(gradient、patch、风格迁移、GAN等),也希望自己能够坚持写下去,研究下去,做出一定的成果。 论文链接: Patch-wise Pat
2021 || You Cannot Easily Catch Me: A Low-Detectable Adversarial Patch for Object Detectors
qq_51302564的博客
10-04 434
You Cannot Easily Catch Me: A Low-Detectable Adversarial Patch for Object Detectors abstract 大多数patch可以被简单的贴片检测器分类网络击败。对此,我们提出了一种低检测的对抗补丁,它用小的和纹理一致的对抗补丁攻击对象检测器,使这些对手不太可能被识别。 具体地说,我们使用几个几何原语来建模补丁的形状和位置。为了提高我们的攻击性能,我们还根据损失函数为边界框分配了不同的权重。 我们在公共检测数据集COCO和驱动视频数
论文学习笔记:背景扰动补丁攻击目标检测模型
weixin_40675092的博客
09-16 554
作者提出了一个新颖white-box攻击的方法,生成图片背景对抗补丁,以此来attack 基于Single Shot Module (SSM)的目标检测器。算法能够在图片内找到有效的位置和形状,创建对抗扰动。生成的对抗扰动,在攻击目标检测模型的同时肉眼几乎无法分辨。不仅能够降低正阳性率,而且还能提升假阳性率。作者在COCO数据上,对8个two-stage目标检测方法和5个one-stage方法进行了对抗实验,均得到了不错的效果 Adv Petch ...
致盲目标检测算法,阿里&清华发起 “对抗攻击” 挑战赛!
我爱计算机视觉
07-17 777
疫情期间在家精进技术却遭遇服务器短缺?想畅快体验算力自由,挑战高难度目标检测攻击场景吗?这里有一个完美实现上述目标,还能获得阿里校招绿通、万元奖金、权威证书和高定礼品,更可去顶会当演讲人...
oracle transform=segment_attributes:n的作用
06-10
在 Oracle 数据库中,`transform=segment_attributes:n` 是一个用于数据泵导出和导入的选项,用于指定在导出和导入期间如何转换基于表分区的对象。 在导出期间,`transform=segment_attributes:n` 选项将导出数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值