Zero-Query Transfer Attacks on Context-Aware Object Detectors

你今天论文了吗

已于 2022-09-06 22:09:32 修改

阅读量445

点赞数 1

分类专栏：对抗攻击文章标签：算法机器学习人工智能深度学习神经网络

于 2022-09-06 22:09:00 首次发布

本文链接：https://blog.csdn.net/weixin_49171105/article/details/126711224

版权

对抗攻击专栏收录该内容

47 篇文章 27 订阅

订阅专栏

我们提出了第一种生成上下文一致对抗攻击的方法，该攻击可以逃避在复杂自然场景上运行的黑盒目标检测器的上下文一致性检查。与许多执行重复尝试并打开自身以进行检测的黑盒攻击不同，我们假设“零查询（ZQA ）”设置，其中攻击者不知道受害系统的分类决策。首先，我们推导出多个攻击计划，以上下文一致的方式为受害者对象分配不正确的标签。然后我们设计并使用一种称为扰动成功概率矩阵(PSPM)的新数据结构，它使我们能够过滤攻击计划并选择最有可能成功的攻击计划。这个最终的攻击计划是使用扰动有界的对抗攻击算法实现的。我们将我们的零查询攻击与反复检查受害系统是否被愚弄的少数查询方案进行比较。我们还与最先进的上下文无关攻击进行了比较。针对上下文感知防御，我们的零查询方法的愚弄率明显高于与上下文无关的方法，并且高于最多三轮少数查询方案可实现的愚弄率。

ZQA

本文首次提出了零查询攻击算法（攻击者没有反馈通道来访问受害者系统的分类决策），该算法以与上下文一致的方式同时改变多个对象，从而创建一个可以克服上下文感知防御的整体对抗场景。

ZQA是一种真正隐蔽的攻击。攻击者只能通过对给定场景中的多个物体进行扰动，并将扰动后的图像提交给目标系统来实现一次攻击计划

zero-query attack 与 few-query atttack

少量查询攻击的愚弄率是累积的，也就是说成功攻击次数为0,1,...,k查询。

大部分情况下，ZQA 是优于少数查询的

虽然少数查询方法最终优于ZQA攻击，但请记住，前者需要攻击者与检测器通信，这不是总是可能的，或者可能暴露攻击者。

环境敏感零查询攻击

攻击者确定在场景中检测到的对象列表，并使用基于共现的上下文模型派生出多个上下文感知攻击计划，使一个或者多个目标对象对其各自的受害者标签产生干扰

然后给定扰动预算，攻击者使用预先计算的PSPM细化列表，结果由（受害者标签，目标标签）对列表组成的攻击计划，这些对最有可能成功的欺骗受害者对象检测器。

攻击者根据改进后的攻击方案，使用规避攻击算法生成扰动场景，将扰动后的图像发送到具有显式上下文一致性检测机制的黑箱分类/检测器。

只有当受害者对象被成功干扰到目标标签，并且受害者系统的对象检测器在其检测到的对象列表中没有发现任何上下文不一致时，攻击才被认为成功。

上下文模型

对象检测器使用上下文模型来确定给定的对象列表是否与上下文一致。

上下文一致：从训练数据中检测到的自然图像中的物体组合应该是被认为是上下文一致的。

上下文不一致：如果某些对象从未在训练数据中一起出现过，则应该认为它们的组合是上下文不一致的。

物体同现是决定上下文一致性的基本线索。

同现矩阵/图

建立一个共现矩阵G。给定一个由N个标签的训练数据集和一个标签集 $N=\left\{{l_{1},...,l_{N}}\right \}$ .共现矩阵G是一个N x N 的矩阵，其中G(i,j)表现为标签 $l_{i},l_{j}\in N$ 的物体在图像中同时出现的唯一对的数量。该矩阵在标准化之前是对称的。将G中的每一个条目用其所在行元素的和进行归一化后，我们得到 $\overline{ G}$ ， $\overline{G}(i,j)$ 表示条件概率 $p_{j|i}$ ,即如果标签 $l_{i}$ 被观察到的条件下，观察到 $l_{j}$ 的概率。一般而言 $\overline{ G}$ 是不对称的。

共现矩阵也可以解释为具有N个节点的上下文图，其中节点i和j之间边的权值表示这两个标签在训练数据中同时出现的次数。

上下文的一致性

如果表示对象标签的所有节点构成上下文图G是全连通子图，则认为对象列表是上下文一致的，数据集中所有的自然图像都满足这个条件。

如果上下文图中至少有两个节点表示两个对象的标签，且它们之间没有边，则对象列表被认为上下文是不一致的。

广义的一致性

假设我们对G的项设定阈值，得到一个矩阵 $H_{\eta }$ ,对于一些阈值 $\eta$ ,如果 $G(i,j)>\eta$ ,则有 $H_{\eta}=G(i,j)$ 否则， $H_{\eta}(i,j)=0$ .使用Hη构建一个上下文图，我们也用相同的符号Hη表示。

基于共同发生的上下文一致性的概念可以很容易地推广如下：如果表示这些对象标签的所有节点形成了上下文图Hη的全连接子图，则在阈值η之前，对象列表被认为是上下文一致的.

干扰成功概率矩阵（PSPM）

PSPM是一个N x N 的矩阵，表示为 $M_{C,\epsilon ,\alpha}$ ,它是很对分类模型C、扰动预算 $\epsilon$ 和目标扰动算法 $\alpha$ 定义的

PSPM是针对标签为 $N=\left\{{l_{1},...,l_{N}}\right \}$ 这一特定训练数据集定义的， $M_{C,\epsilon ,\alpha}$ 利用扰动预算 $\epsilon$ 和扰动算法 $\alpha$ 对标签为 $l_{i}$ 的对象成功扰动到标签为 $l_{j}$ 的概率进行编码，

PSPM表达了攻击者扰乱场景中单个物体的能力。

在同现矩阵允许的众多赋值中选择一个赋值的一些方法：

选择使每个 $M_{C,\epsilon ,\alpha}(i,j)$ 最大化的赋值A->B， $i\in A ,j \in B$
选择使所有 $M_{C,\epsilon ,\alpha}(i,j)$ 平均值最大化的赋值A->B , $i\in A ,j \in B$
选择使所有 $M_{C,\epsilon ,\alpha}(i,j)$ 的最小值最大化的赋值值A->B , $i\in A ,j \in B$

本文在后续选择第一种方法。

与从共现矩阵建议的上下文一致的候选攻击中随机选择攻击计划相比，使用PSPM细化攻击计划确实提高了愚弄率。

上下文一致的攻击计划生成

算法：

实施攻击计划

我们的单代理检测器攻击生成方法是基于∞范数的PGD

初始化一个零扰动 $\delta^{0}=0$ ,并且在每次迭代中更新为：

y是目标标签，我们根基攻击计划生成所需的输出y，其中包括对象类别、位置和置信度得分。

我们在每次迭代t上取步长λ，并将扰动投影到满足以下两个条件的可行集 $\Pi _{s}$ 上，

你今天论文了吗

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Zero-Query Transfer Attacks on Context-Aware Object Detectors

提出了第一种生成上下文一致对抗攻击的方法，该攻击可以逃避在复杂自然场景上运行的黑盒目标检测器的上下文一致性检查。与许多执行重复尝试并打开自身以进行检测的黑盒攻击不同，我们假设“零查询（ZQA ）”设置，其中攻击者不知道受害系统的分类决策。首先，我们推导出多个攻击计划，以上下文一致的方式为受害者对象分配不正确的标签。然后我们设计并使用一种称为扰动成功概率矩阵(PSPM)的新数据结构，它使我们能够过滤攻击计划并选择最有可能成功的攻击计划。这个最终的攻击计划是使用扰动有界的对抗攻击算法实现的。
复制链接

扫一扫