VIP内容

【导读】作为计算机视觉领域的三大国际顶会之一,IEEE国际计算机视觉与模式识别会议CVPR(IEEE Conference on Computer Vision and Pattern Recognition) 每年都会吸引全球领域众多专业人士参与。CVPR 2021已经在线举行, 今年的CVPR有效投稿多达7500篇,一共有1663篇论文被接收,接收率为27%。

CVPR2021 Paper List: https://openaccess.thecvf.com/CVPR2021?day=all

为此,专知小编为大家整理了六篇CVPR 2021 对抗攻击(Adversarial Attacks)相关研究和应用,这块这几年一直比较受关注——对抗样本、对抗样本数据集、VideoMoCo、对抗黑盒测试、深度哈希对抗攻击、几何数据对抗攻击

CVPR2021CL、CVPR2021DA、CVPR2021IVC、CVPR2021PID、CVPR2021IC、CVPR2021VU、CVPR2021OD、CVPR2021OT、CVPR2021AR

1. Invisible Perturbations: Physical Adversarial Examples Exploiting the Rolling Shutter Effect

作者:Athena Sayles, Ashish Hooda, Mohit Gupta, Rahul Chatterjee, Earlence Fernandes

摘要:迄今为止,基于相机的计算机视觉的物理对抗样本已经通过可见的人工方式实现——停车标志上的贴纸、眼镜周围的彩色边框或具有彩色纹理的3D打印物体。这里隐含的假设是,这种扰动必须是可见的,这样相机才能感知到它们。相比之下,本文提供了一个程序,首次来生成人眼不可见的物理对抗样本。本文不是用可见的伪影像修改目标对象,而是修改照亮对象的光线。本文演示了攻击者如何在最先进的 ImageNet 深度学习模型上制作调制光信号,使其反向照亮场景,并导致有针对性的错误分类。具体来说,本文利用商品相机中的辐射卷帘效应来创建出现在图像上的精确条纹图案。在人眼看来,物体似乎是被照亮的,但相机创建的带有条纹的图像将导致 ML 模型输出攻击者所需的分类。本文使用 LED 进行了一系列模拟和物理实验,证明目标攻击率高达84%。

论文: https://openaccess.thecvf.com/content/CVPR2021/papers/Sayles_Invisible_Perturbations_Physical_Adversarial_Examples_Exploiting_the_Rolling_Shutter_Effect_CVPR_2021_paper.pdf

2. Natural Adversarial Examples

作者:Dan Hendrycks, Kevin Zhao, Steven Basart, Jacob Steinhardt, Dawn Song

摘要:本文引入了两个具有挑战性的数据集,它们能够导致机器学习模型性能大幅下降。通过使用简单的对抗性过滤技术收集数据集,来创建具有有限虚假线索的数据集。本文数据集中未修改的样本可靠地转移到各种未知的模型,证明计算机视觉模型具有共同的弱点。第一个数据集称为ImageNet-A,类似于ImageNet测试集,但对于现有模型而言更具挑战性。本文还策划了一个名为ImageNet-O的对抗性分布外检测数据集,这是第一个为 ImageNet 模型创建的分布外检测数据集。在ImageNet-A上,DenseNet-121 获得了大约 2% 的准确度,准确度下降了大约 90%,并且它在ImageNet-O上的分布外检测性能接近随机机会水平。本文发现现有的数据增强技术几乎无法提高性能,并且使用其他公共训练数据集提供的改进有限。然而,本文发现对计算机视觉架构的改进为实现稳健模型提供了一条有效的途径。

论文: https://openaccess.thecvf.com/content/CVPR2021/papers/Hendrycks_Natural_Adversarial_Examples_CVPR_2021_paper.pdf

3. VideoMoCo: Contrastive Video Representation Learning with Temporally Adversarial Examples

作者:Tian Pan, Yibing Song, Tianyu Yang, Wenhao Jiang, Wei Liu

摘要:

MoCo是一种有效的无监督的图像表示学习方法。本文提出 VideoMoCo 用于无监督视频表示学习。给定一个视频序列作为输入样本,本文从两个角度改进了MoCo的时间特征表示。首先,本文引入了一个生成器来暂时从这个样本中删除几个帧。然后,无论帧删除如何,鉴别器都会学习对相似的特征表示进行编码。通过在对抗性学习的训练迭代期间自适应地丢弃不同的帧,本文增加了这个输入样本来训练一个时间鲁棒的编码器。其次,在计算对比损失时,本文使用时间衰减来模拟内存队列中的key衰减。当本文使用当前输入样本进行对比学习时,随着key入队后动量编码器更新,这些key的表示能力会下降。这种退化通过时间衰减反映出来,以将输入样本与队列中最近的key联系起来。因此,本文采用MoCo来学习视频表示,而无需凭经验设计pretext任务。通过增强编码器的时间鲁棒性并对key的时间衰减进行建模,本文的 VideoMoCo 基于对比学习在时间上改进了 MoCo。在包括UCF101和HMDB51在内的基准数据集上的实验表明,VideoMoCo是最先进的视频表示学习方法。

论文: https://openaccess.thecvf.com/content/CVPR2021/papers/Naeem_Learning_Graph_Embeddings_for_Compositional_Zero-Shot_Learning_CVPR_2021_paper.pdf

4. Enhancing the Transferability of Adversarial Attacks through Variance Tuning

作者:Xiaosen Wang, Kun He

摘要:深度神经网络容易受到对抗性样本的影响,这些样本会以难以察觉的扰动误导模型。尽管对抗性攻击在白盒设置中取得了令人难以置信的成功率,但大多数现有方法在黑盒设置中往往表现出弱的可转移性,尤其是在攻击具有防御机制的模型的情况下。在这项工作中,本文提出了一种称为方差调整的新方法,以增强基于迭代梯度的攻击方法的类别并提高其攻击可转移性。具体来说,在每次迭代计算梯度时,本文不是直接使用当前梯度进行动量累积,而是进一步考虑前一次迭代的梯度方差来调整当前梯度,以稳定更新方向并摆脱局部最优。在标准 ImageNet 数据集上的实证结果表明,本文的方法可以显着提高基于梯度的对抗性攻击的可转移性。此外,本文的方法可用于攻击集成模型或与各种输入转换集成。在多模型设置中将方差调整与基于迭代梯度攻击的输入变换相结合,该集成方法可以实现对 9 种先进防御方法的平均成功率 90.1%,将当前最佳攻击性能显着提高 85.1%。

论文: https://openaccess.thecvf.com/content/CVPR2021/papers/Wang_Enhancing_the_Transferability_of_Adversarial_Attacks_Through_Variance_Tuning_CVPR_2021_paper.pdf

代码:

https://github.com/JHL-HUST/VT

5. Prototype-supervised Adversarial Network for Targeted Attack of Deep Hashing

作者:Xunguang Wang, Zheng Zhang, Baoyuan Wu, Fumin Shen, Guangming Lu

摘要:由于其强大的表示学习能力和高效计算能力,深度哈希在大规模图像检索中取得了重大进展。然而,深度哈希网络容易受到对抗样本的影响,这是一个实际的安全问题,但在基于哈希的检索领域很少研究。本文提出了一种新颖的原型监督对抗网络(ProS-GAN),它制定了一种灵活的生成架构,用于高效和有效的目标哈希攻击。据本文所知,这是第一代攻击深度哈希网络的方法。本文提出的框架由三部分组成,即原型网络(PrototypeNet)、生成器和鉴别器。具体来说,设计的 PrototypeNet 将目标标签嵌入到语义表示中,并学习原型代码作为目标标签的类别级代表。此外,语义表示和原始图像联合输入生成器,以进行灵活的针对性攻击。特别是利用原型代码,通过最小化对抗样本的哈希码和原型代码之间的汉明距离,来监督生成器构造目标对抗样本。此外,生成器对抗鉴别器,同时鼓励对抗性示例视觉逼真和语义表示信息丰富。大量实验证明,本文所提出的框架可以有效地生成对抗性示例,该示例具有比最先进的深度哈希攻击方法更好的针对性攻击性能和可转移性。

图片 论文:

https://openaccess.thecvf.com/content/CVPR2021/papers/Wang_Prototype-Supervised_Adversarial_Network_for_Targeted_Attack_of_Deep_Hashing_CVPR_2021_paper.pdf

代码:

https://github.com/xunguangwang/ProS-GAN

6. Universal Spectral Adversarial Attacks for Deformable Shapes

作者:Arianna Rampini, Franco Pestarini, Luca Cosmo, Simone Melzi, Emanuele Rodolà

摘要:众所周知,机器学习模型容易受到对抗性攻击,即数据的扰动导致错误预测,尽管难以察觉。然而,迄今为止,只有图像证明了“普遍”攻击(即跨不同数据点传输的独特扰动)的存在。对于几何数据,例如图形、网格和点云,部分原因在于缺乏通用域来定义普遍扰动。本文提供了一个视角的变化,并证明了对几何数据(形状)的普遍攻击的存在。本文引入了一个完全在谱域中运行的计算过程,其中攻击采取对短特征值序列的小扰动的形式;然后通过从频谱中恢复形状来合成得到的几何形状。本文的攻击是通用的,因为它们可以跨越不同的形状、不同的表示(网格和点云)来传递,并泛化到以前未知的数据。

论文: https://openaccess.thecvf.com/content/CVPR2021/papers/Rampini_Universal_Spectral_Adversarial_Attacks_for_Deformable_Shapes_CVPR_2021_paper.pdf

成为VIP会员查看完整内容
0
27

最新论文

Due to the vulnerability of deep neural networks (DNNs) to adversarial examples, a large number of defense techniques have been proposed to alleviate this problem in recent years. However, the progress of building more robust models is usually hampered by the incomplete or incorrect robustness evaluation. To accelerate the research on reliable evaluation of adversarial robustness of the current defense models in image classification, the TSAIL group at Tsinghua University and the Alibaba Security group organized this competition along with a CVPR 2021 workshop on adversarial machine learning (https://aisecure-workshop.github.io/amlcvpr2021/). The purpose of this competition is to motivate novel attack algorithms to evaluate adversarial robustness more effectively and reliably. The participants were encouraged to develop stronger white-box attack algorithms to find the worst-case robustness of different defenses. This competition was conducted on an adversarial robustness evaluation platform -- ARES (https://github.com/thu-ml/ares), and is held on the TianChi platform (https://tianchi.aliyun.com/competition/entrance/531847/introduction) as one of the series of AI Security Challengers Program. After the competition, we summarized the results and established a new adversarial robustness benchmark at https://ml.cs.tsinghua.edu.cn/ares-bench/, which allows users to upload adversarial attack algorithms and defense models for evaluation.

0
0
下载
预览
Top