针对图像分类的鲁棒物理域对抗伪装

深度学习模型对对抗样本表现出脆弱性.作为一种对现实世界深度系统更具威胁性的攻击形式,物理域对抗样本近年来受到了广泛的研究关注.现有方法大多利用局部对抗贴片噪声在物理域实现对图像分类模型的攻击,然而二维贴片在三维空间的攻击效果将由于视角变化而不可避免地下降.为了解决这一问题,所提Adv-Camou方法利用空间组合变换来实时生成任意视角及变换背景的训练样本,并最小化预测类与目标类交叉熵损失,使模型输出指定错误类别.此外,所建立的仿真三维场景能公平且可重复地评估不同的攻击.实验结果表明,Adv-Camou生成的一体式对抗伪装可在全视角欺骗智能图像分类器,在三维仿真场景比多贴片拼接纹理平均有目标攻击成功率高出25%以上,对Clarifai商用分类系统黑盒有目标攻击成功率达42%,此外3D打印模型实验在现实世界平均攻击成功率约为66%,展现出先进的攻击性能.

基于掩膜的人脸压缩重建对抗攻击增强方法

现有研究表明通过对输入的人脸图片施加扰动能够导致人脸识别系统发生误判,即对抗样本。当前,许多对抗样本攻击方法通过在扰动生成过程中对扰动进行旋转、调整尺度、添加随机噪声等变换,以实现增强攻击性的目的。该文首次发现对抗样本在由ndarray格式压缩为PNG(Portable Network Graphics)格式,再重建成ndarray格式时对抗性会得到增强。基于此,提出了基于掩膜的人脸压缩重建对抗攻击增强方法——在对抗样本的迭代生成中,在预定迭代次数下设置断点,并在断点处反复地对对抗图片的掩膜区域进行压缩重建(Compression&Reconstruction,C&R)。在IFW人脸检测数据集上分别进行了单模型攻击和集成模型攻击的实验,结果证明,该方法生成的对抗样本在白盒场景下攻击成功率最高提高了2.3%,在黑盒场景中攻击成功率也有小幅提升。最后,分别通过两组超参数实验探讨了参数的不同选取对该方法攻击效果的影响,并给出了最优参数以供后续研究参考。