精华内容
下载资源
问答
  • 2022-04-09 17:00:55

    前言

    只是一个自己看过的论文小汇总,还不能当综述,但也包含了很多经典的对抗攻击算法,方便回顾和查询,自己看的第一篇综述是:
    Advances in adversarial attacks and defenses in computer vision: A survey
    论文这件事,真的只能多看,上学期看的,现在忘差不多了(估计还得从头再看亿遍),代码也得操练起来。
    由于我没给论文链接(比较费时间),我就介绍几个搜索文献的网站

    代码就看论文中有没有给链接吧,然后就 paperswitchcode,基本上每一篇都有。后面有时间会编辑个论文和代码链接吧,然后简单介绍每种算法的idea和method,比较经典的应该会单出论文笔记。
    算法的分类没有那么严格,可能会有一些出入,新看的论文会再加入,持续更新。

    对抗攻击名词解释

    术语含义
    white-box attack白盒攻击:知道模型的全部信息
    black-box attack黑盒攻击:无法获知模型的训练过程和参数
    query-based attack基于查询的攻击:攻击者能够查询目标模型并利用其输出来优化对抗性图像
    score-based attack基于分数的攻击:需要知道模型的输出的置信度
    decision-based attack基于决策的攻击:只需要知道目标模型的预测标签(top-1 label)
    targeted attacks定向攻击,欺骗模型使模型预测为特定标签;相对于un-targeted attacks,没有特定标签,只求模型预测错误
    adversarial training对抗训练:在模型的训练数据中注入对抗性例子以使其具有对抗鲁棒性

    首先:对抗攻击的最先提出:Intriguing properties of neural networks

    一、白盒攻击

    1.FGSM

    (1)FGSM:EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES
    (2)I-FGSM:ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD
    (3)MI-FGSM:Boosting Adversarial Attacks with Momentum(白盒黑盒均适用)
    (4)NI-FGSM,SIM:NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS(增加迁移性)

    2.JSMA:

    The Limitations of Deep Learning in Adversarial Settings

    3.DeepFool:

    DeepFool: a simple and accurate method to fool deep neural networks

    4.CW:

    Towards Evaluating the Robustness of Neural Networks

    5.PGD:

    Towards Deep Learning Models Resistant to Adversarial Attacks

    二、黑盒攻击

    黑盒开篇:Practical Black-Box Attacks against Machine Learning

    1.单像素攻击

    (1)Simple Black-Box Adversarial Attacks on Deep Neural Networks
    (2)One Pixel Attack for Fooling Deep Neural Networks

    2.基于查询(query-based attack)

    基于查询的又可分为基于分数的和基于决策的
    socre-based attack
    (1)SimBA:Simple Black-box Adversarial Attacks
    (2)MetaSimulator:Simulating Unknown Target Models for Query-Efficient Black-box Attacks

    decision-based attack
    (1)开篇:Decision-Based Adversarial Attacks: Reliable Attacks Against Black-Box Machine learning Models
    (2)HSJA:HopSkipJumpAttack: A Query-Efficient Decision-Based Attack
    (3)SurFree:SurFree: a fast surrogate-free black-box attack
    (4)f-attack:Decision-Based Adversarial Attack With Frequency Mixup

    3.基于迁移

    (1)开篇:Transferability in Machine Learning: from Phenomena to Black-Box Attacks using Adversarial Samples
    (2)Delving into Transferable Adversarial Examples and Black-box Attacks
    (3)Enhancing the Transferability of Adversarial Attacks through Variance Tuning
    (3)元学习:Meta Gradient Adversarial Attack

    4.基于替代

    (1)DaST:Data-free Substitute Training for Adversarial Attacks
    (2)Delving into Data: Effectively Substitute Training for Black-box Attack
    (3)Learning Transferable Adversarial Examples via Ghost Networks

    5.其他

    (1)通用黑盒攻击UAP:Universal adversarial perturbations
    (2)AdvDrop: Adversarial Attack to DNNs by Dropping Information
    (3)Practical No-box Adversarial Attacks against DNNs
    (4)ZOO: Zeroth Order Optimization Based Black-box Attacks to Deep Neural Networks without Training Substitute Models

    三、对抗攻击与目标检测

    1. Towards Adversarially Robust Object Detection
    2. DPATCH: An Adversarial Patch Attack on Object Detectors

    四、对抗训练&鲁棒性

    1. Towards Deep Learning Models Resistant to Adversarial Attacks
    2. A Closer Look at Accuracy vs. Robustness
    3. ENSEMBLE ADVERSARIAL TRAINING ATTACKS AND DEFENSES
    4. Towards Evaluating the Robustness of Neural Networks
    更多相关内容
  • 目标检测 对抗攻击

    2021-01-07 23:53:59
    第二个性质就是对抗攻击的理论基础,后来Goodfellow 在 Explaining and Harnessing Adversarial Examples[13]中提出原因并非是深层神经网络的高度非线性和过拟合,即使是线性模型也存在对抗样本。在这篇论文中,我们...

    两个现象。

    第一个是高维神经网络的神经元并不是代表着某一个特征,而是所有特征混杂在所有神经元中;第二个是在原样本点上加上一些针对性的但是不易察觉的扰动,就很容易导致神经网络的分类错误。

    第二个性质就是对抗攻击的理论基础,后来Goodfellow 在 Explaining and Harnessing Adversarial Examples[13]中提出原因并非是深层神经网络的高度非线性和过拟合,即使是线性模型也存在对抗样本。在这篇论文中,我们可以粗浅地认为对抗攻击之所以能够成功的原因是误差放大效应:在这里插入图片描述
    对抗网络之目标检测应用:A-Fast-RCNN
    https://blog.csdn.net/jxy0123456789/article/details/80690503?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-3&spm=1001.2101.3001.4242

    综述
    https://www.jiqizhixin.com/articles/2018-03-05-4

    https://zhuanlan.zhihu.com/p/37260275

    攻击防御
    https://zhuanlan.zhihu.com/p/136174052

    展开全文
  • 目标检测是一种广泛应用于工业控制、航空航天等安全攸关场景的重要技术。近年来,随着深度学习在目标检 测领域的应用,检测的精度得到了较大提升,但由于深度学习固有的脆弱性,使得基于深度学习的目标检测技术的...
  • 根据p 2.2中介绍的评价指标,实验结果如下所示: 论文中没有给出该方法的总得分,可以直观的算出FinalScore为: 我搜索了一下第四期通用目标检测对抗攻击的榜单,可以发现本文的作者是来自于清华大学的队伍,在此类...

    题目:Sparse Adversarial Attack to Object Detection

    论文:https://arxiv.org/pdf/2012.13692v1.pdf

    代码:https://github.com/THUrssq/Tianchi04.

    引言

    该论文的出处是阿里天池大赛中安全AI挑战者计划第四期的通用目标检测对抗攻击。阿里的安全AI挑战者计划是一系列关于AI安全的竞赛,到目前为止球200多所高校100多家企业的近4000支队伍参加,主要目的是抵御未来AI面临的各种安全问题。阿里天池论坛的学习氛围很好,很多优秀的战队很详细的分享了在本次比赛的方法和代码,感兴趣的可以学习一下。

    题目赛况

    因为该论文是根植于比赛,所以需要先对本次比赛的题目和评价指标介绍一下,尤其是评价指标有些复杂需要对其详细介绍,这样才能更容易理解论文中实验结果。

    赛题简介

    阿里天池安全AI挑战者计划第四期比赛针对通用的目标检测模型进行攻击,比赛采用COCO数据集,其中包含20类物体。任务是通过向原始图像中添加对抗补丁(adversarial patch)的方式,使得典型的目标检测模型不能够检测到图像中的物体,绕过目标定位。主办方选取了4个近期的State-of-the-art检测模型作为攻击目标,包括两个白盒模型YOLO v4和Faster RCNN和另外两个未知的黑盒模型。

    评价指标

    一张图像中对抗贴图的像素值大小和位置没有任何限制,只会限制贴图的尺寸。评估是使用原始图像减去修改后的图像,得到修改域,然后,计算修改域中连通域的数量和每个连通域的大小。一个连通域被视为一个添加的对抗贴图,对抗贴图有两点限制:

    1. 限制了改变的像素数量在总像素中的比率,不超过全图所有像素的2%。

    2. 限制了对抗贴图的数量不多于10个,当检测到对抗贴图的数量超过10个。

    对抗贴图使得图像输入到模型后,所有目标都无法被检测到,采用方评价得分方式为:

    其中5000表示最大修改像素数量(因为限制1中要求像素改变量不超过全图中的2%,所以有500x500x2%=5000), 是第 个对抗贴图的面积, 是干净样本的图像, 是对抗图像, 是表示第 个模型(共四个模型), 表示模型 检测图像 返回的检测框的数量(检测框越少得分越高),最后的得分是所有的图像在4个模型(两个白盒模型YOLO v4 和Faster RCNN 和两个未知的黑盒模型)上的总得分:

    从总得分的公式可以推知,如果一个FinalScore的得分越高,则攻击的效果越好,这是一个正相关关系的评价指标。

    论文方法介绍

    作者提出一个针对目标检测器的稀疏对抗性攻击(SAA),作者集成了两个现成的目标检测器,并在黑盒攻击有很强迁移性,所以该方法可以很容易地推广到多模型中去。如下图所示,为本文的SAA框架,它集成了两个目标检测器(一阶段目标检测器YOLOv4和二阶段目标检测器FasterRCNN)来进行攻击。为了使用有限的像素进行强大的对抗性攻击,作者特意设计了对抗补丁的位置、形状和大小。

    有关Patch的设计

    因为比赛的要求比较严格,图像的修改范围不超过整个图像的2%,所以这种对抗扰动在空间中是稀疏的。针对这些情况,作者设计了一种十字形贴图,其交点位于物体包围盒的中心(如下图所示为添加十字形贴图的对抗样本)。利用大跨度的patch 可以严重地误导目标检测器的结果,但是确只有很少的像素变化。作者基于物体中心是对抗攻击的脆弱区域的假设,提出了如下目标检测器的输入公式如下:

    其中,这里 代表干净的图像, 代表对抗的补丁, 是故意设计的Mask。

    损失函数

    SAA的目标是消除图像中所有的物体检测框,该攻击与目标检测器的正样本(前景)和负样本(背景)的定义密切相关。作者通过使图像中的一个物体成为目标探测器的负样本来消除它。根据目标探测器前景和背景的定义作者设计了相关的损失函数。

    YOLOv4是一阶段目标检测器,YOLOv4利用置信度去区分图像的前景和背景。置信度低于YOLOv4中的阈值的包围框将被识别为背景,并将在后处理阶段丢弃。基于这些原理作者设计的YOLOv的损失函数为:

    其中 表示所有对象类别的集合, 表示所有边界框的集合,conf是YOLOv4中的对象置信度。损失函数提取图像的最大目标置信度。作者通过降低置信度从而来达到攻击的目的。

    FasterRCNN是两阶段目标检测器,作者通过增加背景的softmax输出概率,同时减少任何其他类别(前景对象)的softmax输出概率来实现攻击,但是FasterRCNN通常会产生10 万多个区域提案,是YOLOv4的10倍以上。大量的区域建议使其难以消除所有目标与极其有限的攻击。因此作者做出相应的妥协,设计了FasterRCNN的损失函数为:

    其中, 是超参数, 表示所有对象的集合类, 表示所有边界框的集合, 是设计的元素的个数。

    作者结合了两个目标检测器的损失来训练对抗补丁,最终损失函数如下所示:

    实验结果

    作者从MSCOCO2017数据集中选择1000张图像,所有图像大小为500*500。选取YOLOv4和FasterRCNN作为目标模型。根据p 2.2中介绍的评价指标,实验结果如下所示:

    论文中没有给出该方法的总得分,可以直观的算出FinalScore为:

    我搜索了一下第四期通用目标检测对抗攻击的榜单,可以发现本文的作者是来自于清华大学的队伍,在此类竞赛的排名中荣获TOP4的好名次。如下图所示的红框中的“我还有机会吗”就是本文作者的战队。

    END

    备注:对抗

    对抗学习交流群

    扫码备注拉你入群。

    我爱计算机视觉

    微信号:aicvml

    QQ群:805388940

    微博知乎:@我爱计算机视觉

    投稿:amos@52cv.net

    网站:www.52cv.net

    在看,让更多人看到  

    展开全文
  • 并通过实验对比了几种典型目标检测对抗攻击方法的性能,同时比较了这几种方法的跨模型的迁移攻击能力。此外,本文 还对目前目标检测领域常用的对抗防御策略进行了分析和归纳。最后,总结了目标检测领域对抗样本的...
  • ©PaperWeekly 原创 · 作者|文永亮学校|哈尔滨工业大学(深圳)研究方向|时空序列预测,目标检测赛题:1000张图,在图上贴补丁,最多不超过10个,导致检测框失效就算得分。比...

    ©PaperWeekly 原创 · 作者|文永亮

    学校|哈尔滨工业大学(深圳)

    研究方向|时空序列预测,目标检测

    赛题:1000张图,在图上贴补丁,最多不超过10个,导致检测框失效就算得分。

    比赛链接:https://tianchi.aliyun.com/competition/entrance/531806/information

    数据描述:从 MSCOCO 2017 测试数据集中有条件的筛选了 1000 张图像,这些图像不会包含过多或者过少的检测框(至少会有一个检测框),并且检测框的面积相对于整图不会太小。每张图都被 resize 到500 * 500的大小,并以.png的格式存储。

    攻击的检测器:Faster RCNN,YOLOv4,另外三个是黑盒。

    最近做了一段时间,分享一下思路,我做的分数不高,只是做个入门介绍。

    首先介绍一下相关的论文:

    • Adversarial Patch

    • DPatch

    • On Physical Adversarial Patches for Object Detection

    • Fooling automated surveillance cameras: adversarial patches to attack person detection

    Adversarial Patch

    1.1 简要思路

    没有接触过对抗攻击的可以从这篇入手,这是第一个在对抗攻击中提出 Patch 的。

    论文标题:Adversarial Patch

    论文来源:NIPS 2017

    论文链接:https://arxiv.org/abs/1712.09665

    传统的对抗攻击就是在原图的基础上加入肉眼不可见的噪音干扰分类器,用数学的方式定义就是,给定分类器 ,其中 为样本, 为样本自身的类别,假设我们需要误判为的目标类别为 ,想要找到一个与 相近的 最大化 ,相近的约束表示为存在一个 误差满足

    通俗点讲,就是把 Patch 贴在图上,跟原图相差不大并且使分类器分类失误,如下图表示了 Patch 粘贴的方式:

    1.2 损失函数

    就是最大化目标类别的概率期望,导致分类器误判即可,A 就是 apply 函数,把 Patch 粘贴到图中的方式,p 为 Patch 的参数,x 为原图,l 为位置。

    但是这个与天池的比赛有点差距,因为是目标检测的对抗攻击,不是分类器的对抗攻击,所以就有了下面 DPatch 的论文,其实道理变化不大。

    DPatch

    2.1 简要思路

    论文标题:DPatch: An Adversarial Patch Attack on Object Detectors

    论文来源:AAAI 2019

    论文链接:https://arxiv.org/abs/1806.02299

    代码链接:https://github.com/veralauee/DPatch

    这篇是 AAAI 2019 Workshop 的论文,这个思路是最贴切赛题而且非常简单容易实现的,就是在原图的基础上直接添加 Patch,固定住 YOLO 或者 Faster R-CNN 等检测器的权重,反向传播只更新 Patch,文章只在图片的左上角贴了 Patch,这里需要看他的损失函数如何设计的。

    如下图所示,只在单车左上方贴上 40*40 的 Patch,即可让检测器失效。

    2.2 损失函数

    为了训练无目标的 DPatch,这里的无目标 DPatch 是指只需要把检测框失效,不需要把单车误识别为人,这样是有目标攻击。所以我们希望找到一个 Patch,假设把 Patch 贴上图中的 apply 函数为 A,我们需要最大化与真正的类标签 和边界框标签 目标检测器的损失:

    如果是有目标攻击,我们希望找到一个 P,它能使目标类标签 和边界框标签 的损失最小化:

    GT 的类别标签在这个比赛中没有提供,其实也很简单,可以直接用未攻击过的检测器模型得到 label 存下来,我也直接用了官方给的 YOLOv4 的代码跑了结果存下了类别标签以及检测框 BBox 的位置,大小。

    2.3 论文效果

    从指标上看,小物体如鸟这样的无目标攻击会比较困难。论文作者指出 DPatch 是具有泛化能力的,YOLO 训练出来的 Patch 给 Faster-RCNN 用也是没问题的,反之也行。

    有一份 github 的开源代码 https://github.com/veralauee/DPatch,我在这个基础上把 Patch 与 pytorch-yolov4 结合,做了论文的思路,但是效果不是很好只有 56 分,如果把 Patch 贴在中心有 200 分左右。

    ICML 2019

    3.1 简要思路

    论文标题:On Physical Adversarial Patches for Object Detection

    论文来源:ICML 2019

    论文链接:https://arxiv.org/abs/1906.11897

    这是一篇 ICML 2019 Workshop 的论文,其实就是在 DPatch 的基础上的一点改进,改进了参数更新的方式,应用对抗攻击的手段,视频效果非常好,先看效果吧。

    但是这里他是显示了有目标的全图攻击,把所有的框都失效了,并且把 Patch 中检测出斑马,这个跟我们的赛题其实不太符合,天池的比赛是把框都失效才有分,如果失效一个又多一个别的框并不得分。

    3.2 改进点

    • 给 Patch 贴的方式发生一些变化,不只是左上的角落,而是增加一些旋转,亮度,位置的变化

    • 损失函数用了 PGD 的方式

    第一点其实很容易实现,在贴 Patch 之前应用一些变换函数上去即可, 是 Patch 的参数, 是损失函数,权重的更新方式如下:

    可以对照着 DPatch 的更新方式:

    DPatch 的损失函数的更新是直接的最小化目标类别,或者最大化 GT 的类别,并没有用到对抗攻击的手段,这里直接使用了 PGD 一阶最强攻击,可以理解为最大化 GT 类别的一种方式。仔细的看更新方式,最原始的 SGD 就是沿着梯度的负方向更新达到最小化 loss 的目的,如果要最大化 loss 就是得沿着梯度的正方向。

    PGD 的方式,就是对同一样本多次沿着梯度正方向更新,但是更新的值不能太大,所以 clip 成 0 到 1,也就是每次沿着梯度正方向更新 0 到 1 的值数次,达到攻击样本的目的。

    3.3 效果

    论文指出这样训练要比 DPatch 快,可是他也更新了 30w 轮,而且每轮还多次攻击。

    我改了以上的改进点发现并没有太大的改变,也是 200 分左右。

    Adversarial YOLO

    4.1 简要思路

    论文标题:Fooling automated surveillance cameras: adversarial patches to attack person detection

    论文来源:CVPR 2019

    论文链接:https://arxiv.org/abs/1904.08653

    代码链接:https://gitlab.com/EAVISE/adversarial-yolo

    这篇是 2019 的论文,给了代码的,主要是对人这个类别进行攻击,而天池这个比赛其中人的类别就有 600 多张是有的,所以 1000 张中搞定人的类别的框就已经可以说很成功了。

    其中 loss 的设计不太符合比赛,因为他这里的 loss 由三部分组成,考虑了可打印出真实世界进行物理攻击的因素。

    方法思路是差不多的,都是在原图上贴 Patch 然后只更新 Patch 的部分,在于损失函数如何设计了。

    4.2 损失函数

    损失函数包含了三个,其中前两个 是关于物理因素的,是可否打印出来进行物理攻击的因素,在 是 patch P 中的一个像素, 是一组可打印颜色 C 集合中的一种颜色。

    这 loss 倾向于使模型中生成的 Patch 与我们的可打印颜色非常接近。而第二个 loss 是关于轮廓的 smooth 程度的, 确保了我们的加了 Patch 的图像倾向于一个平滑的颜色转换图像。

    如果相邻像素相似,则 loss 较低;如果相邻像素不同,loss 较高。那我们这个比赛其实不需要考虑可否打印或者平滑度,其实我在实践中也没有加入这两个 loss 去训练。

    最后一项 loss 是关于有没有物体的,其中 YOLO 的 loss 是有一项 的,YOLO 预测得到的 output 第四维 channel 就是该特征的 , 但是需要 sigmoid 后处理,而 5 到 85 维是 coco 数据集中的 80 类分类分数,需要 softmax 处理。另外 0,1,2,3 维分别是 x,y,w,h 用处不大。

    具体代码如下,其中 output 为 YOLOv4 模型的输出,n_ch 为 85 维,fsize 是特征图大小,人类类别在 coco 数据集的 80 类中是第 0 类,所以 confs_for_class 只取了第 0 类的分类分数,最后 loss 是分类的分数和有无目标的分数的乘积。

                output = output.view(batchsize, self.n_anchors, n_ch,
                                     fsize * fsize)
                output = output.transpose(1, 2).contiguous()
                output = output.view(batchsize, n_ch,
                                     self.n_anchors * fsize * fsize)
                output_objectness = torch.sigmoid(output[:, 4, :])  # [batch, 1805]
                output = output[:, 5:n_ch, :]  # [batch, 80, 1805]
                # perform softmax to normalize probabilities for object classes to [0,1]
                normal_confs = torch.nn.Softmax(dim=1)(output)
                # we only care for probabilities of the class of interest (person)
                confs_for_class = normal_confs[:, 0, :]
                confs_if_object = confs_for_class * output_objectness

    但是作者最后也尝试了多种组合方式,只用分类 CLS 的 loss,只用有无目标 OBJ 的 loss,以及代码所示的两个都用的 loss,结果如下图,AP 应该越低越好。而用 OBJ-CLS 的 AP 值有 42.8%,只用 OBJ 的 AP 值为 25.53%,只用 CLS 的 AP 值为 82.08%。所以要是无目标攻击的话,最好只攻击 OBJ 的 loss。

    我也在天池的比赛中尝试过这篇论文的这个点,但是分数不升反降了。

    结论

    本次比赛重在学习,我也没有做过对抗攻击的研究,这番下来对目标检测对抗攻击领域其实有了一定的了解,也希望能够帮助更多的人入门这个领域,我看到落地的 demo 有很多,攻击的效果也是惊人,但是我的尝试过后分数并没有明显的提升,也有可能是我训练得次数太少了,目前我都是只训练了最多 500 轮,论文中都是 30w 轮的迭代。

    想法十分有趣,攻击的套路其实变化不大,都是在原图贴 Patch,然后设计 loss 反向传播只更新 Patch 的参数,另外我发现 Patch 的位置其实对结果影响很大。

    更多阅读

    #投 稿 通 道#

     让你的论文被更多人看到 

    如何才能让更多的优质内容以更短路径到达读者群体,缩短读者寻找优质内容的成本呢?答案就是:你不认识的人。

    总有一些你不认识的人,知道你想知道的东西。PaperWeekly 或许可以成为一座桥梁,促使不同背景、不同方向的学者和学术灵感相互碰撞,迸发出更多的可能性。 

    PaperWeekly 鼓励高校实验室或个人,在我们的平台上分享各类优质内容,可以是最新论文解读,也可以是学习心得技术干货。我们的目的只有一个,让知识真正流动起来。

    ???? 来稿标准:

    • 稿件确系个人原创作品,来稿需注明作者个人信息(姓名+学校/工作单位+学历/职位+研究方向) 

    • 如果文章并非首发,请在投稿时提醒并附上所有已发布链接 

    • PaperWeekly 默认每篇文章都是首发,均会添加“原创”标志

    ???? 投稿邮箱:

    • 投稿邮箱:hr@paperweekly.site 

    • 所有文章配图,请单独在附件中发送 

    • 请留下即时联系方式(微信或手机),以便我们在编辑发布时和作者沟通

    ????

    现在,在「知乎」也能找到我们了

    进入知乎首页搜索「PaperWeekly」

    点击「关注」订阅我们的专栏吧

    关于PaperWeekly

    PaperWeekly 是一个推荐、解读、讨论、报道人工智能前沿论文成果的学术平台。如果你研究或从事 AI 领域,欢迎在公众号后台点击「交流群」,小助手将把你带入 PaperWeekly 的交流群里。

    展开全文
  • 该存储库包含AREOD (用于对象检测的对抗鲁棒性评估)的代码,这是一个Python的库,用于进行对抗性机器学习研究,以正确地对标目标检测中的对抗性鲁棒性。 该存储库仍在开发中,我们使用3种针对对象检测模型的攻击...
  • CVPR2020 | 当目标跟踪遇上对抗攻击

    千次阅读 2020-03-24 21:19:46
    论文链接:https://arxiv.org/abs/2003.09595代码链接:https://github.com/MasterBin-IIAU/CSA研究背景【目标跟踪】近年来...
  • 对抗样本攻击

    2018-06-01 11:36:42
    对抗样本攻击的实现,运行test.py即可,如果想要测试其他图片可以修改代码中的图片路径。
  • 对面部识别进行物理对抗攻击的步骤 在应用蒙版之后,将左侧的输入图像检测为右侧的目标图像。 安装 创建一个虚拟环境 conda create -n facial pip 克隆仓库 git clone https://github.com/392781/Face-Off.git ...
  • 深度学习作为人工智能技术的重要组成部分,被广泛应用在...尽管深 度学习在图像分类和目标检测等方向上取得了较好性能,但研究表明,对抗攻击的存在对深度学习模型的安全应 用造成了潜在威胁,进而影响模型的安全性。
  • 对抗机器学习的最新研究开始关注自主驾驶中的视觉感知,并研究了目标检测模型的对抗示例。然而在视觉感知管道中,在被称为多目标跟踪的过程中,检测到的目标必须被跟踪,以建立周围障碍物的移动轨迹。由于多目标...
  • 深度学习作为人工智能技术的重要组成部分,被广泛应用于计算机视觉...尽管深度学习在图像分类和目标检测等任务中取得了较好性能,但是对抗攻击的存在对深度学习模型的安全应用构成了潜在威胁,进而影响了模型的安全性。
  • 作者|马晨来源|机器之心目前,研究者们提出了越来越多的黑盒攻击算法,其中基于「模拟」的攻击成为了一种新的攻击形式。来自清华的研究者解决了模型窃取攻击中长久以来存在的一个问题:训练代理模型...
  • 为了保证神经网络算法的安全性,不同类型的反制策略被相继提出:1)梯度屏蔽/混淆 (gradient ...3)对抗样本检测 (adversarial examples detection):学习原始数据的分布,从而检测对抗样本并禁止其输入到分类器。
  • 对抗攻击算法分类1.1.白盒攻击/黑盒攻击1.2.逃逸攻击/投毒攻击1.3.定向攻击/非定向攻击1.4.拓扑攻击/特征攻击/混合攻击2.攻击算法的应用3.图对抗攻击面临的挑战3.1.应用多样性3.2.攻击的可扩展性3.3.攻击的可转移性...
  • 视觉目标跟踪的高效对抗攻击 摘要 现有的最先进的物体跟踪器,即基于暹罗的跟踪器,使用DNNs来获得高精度。然而,视觉跟踪模型的鲁棒性很少被研究。在本文中,我们分析了基于暹罗网络的目标跟踪器的弱点,并把反例...
  • DAG的algorithm

    千次阅读 2022-04-07 16:46:10
    DAG是一个使用在目标检测场景下的对抗样本生成模型 应该是第一个应用在目标检测场景下的 这部分的算法设计主要是对应了Faster RCNN这种二阶段检测模型 其中 target set 是一张图片中所有的预测, 在网络训练的...
  • 目标检测对抗攻击 其他2D目标检测 目标检测 2D 目标检测 End-to-End Object Detection with Transformers DETR:基于Transformers的端到端目标检测 作者单位:巴黎第九大学, Facebook AI 论文:...
  • 每天给你送来NLP技术干货!作者 | BenDickson编译 |琰琰来自 | AI科技评论机器学习在应用程序中的广泛使用,引起了人们对潜在安全威胁的关注。对抗攻击( adversa...
  • 相较于其他领域,图像领域的对抗样本生成有以下优势:...本文以全连接网络和卷积神经网络为例,以MNIST、CIFAR10,以及ImageNet为基础样本,研究基于逃避对抗,包括白盒、黑盒、灰盒,以及物理攻击的图像对抗样本生成。
  • 对抗网络之目标检测应用:A-Fast-RCNN  论文:A-Fast-RCNN: Hard Positive Generation via Adversary for Object Detection 【点击下载】  Caffe代码:【Github】 一. 深度学习正确的打开方式 ...
  • 对抗攻击和防御

    千次阅读 2021-10-27 12:24:49
    对抗攻击目标是使模型错误分类样本,同时不能过度修改样本。对抗攻击通常分为白盒攻击和黑盒攻击。对于白盒攻击,攻击者已知模型内部的所有信息和参数,基于给定模型的梯度生成对抗样本,对网络进行攻击。对于黑盒...
  • 一、 图对抗攻击 按照攻击算法在图中添加扰动的不同阶段,可以将图对抗攻击分为两类,分别为逃逸攻击和投毒攻击。其中逃逸攻击是攻击者构造对抗样本在模型测试简短欺骗目标模型,而投毒攻击是攻击者在模型训练阶段向...
  • 本篇文章是伍冬睿教授及其领导的研究团队成员在生理计算中的对抗攻击与防御方面的综述。本文系统性综述了生理计算主要研究领域、不同类型的对抗攻击、其在生理计算上的应用以及相应的防御措施,从而填补...
  • 对抗攻击“兵器”大放送(综述篇) 1 写在前面 【CV算法兵器】栏目专注于分享CV算法与机器学习相关的核心模型,高价值论文以及工业界经典的工作,欢迎大家一起交流学习 大家好,我是Rocky。 汉唐盛世,英雄辈出。长
  • - 那就直接给目标网络 input,然后得到网络的 output 以获取输入-输出对,直接将其作为 proxy network 的训练数据即可 黑箱攻击的效果 (比较适合 non-targeted attack): paper: Delving into Transferable ...
  • 图神经网络对抗攻击的综述

    千次阅读 2021-08-25 16:46:50
    摘要 最近的研究发现,图神经网络(GNN)容易受到对抗攻击。通过对原始图做修改,可以使得GNN最后得到错误的预测结果。GNN的这种脆弱性使得很多对于安全性要求很高的应用场景都开始产生担忧,很多人也开始在这个方面...
  • 该方法背后的原理:对于对抗性子空间,出现在x'附近的样本点可以来自于多个流形。x'与流形S接近这一现象意味着x'的邻域很可能包于S中。然而,如果x'的邻域主要由S中的样本组成,那么x'不太可能是一个对抗样本。因此...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,151
精华内容 2,860
关键字:

目标检测对抗攻击