Redian新闻
>
CVPR 2023 | 由点到面:可泛化的流形对抗攻击,从个体对抗到流形对抗

CVPR 2023 | 由点到面:可泛化的流形对抗攻击,从个体对抗到流形对抗

公众号新闻
机器之心专栏

机器之心编辑部

来自东方理工的研究团队提出了一种广义流形对抗攻击的新范式,将传统的 “点” 攻击模式推广为 “面” 攻击模式。


声称准确率 99% 的人脸识别系统真的牢不可破吗?事实上,在人脸照片上做一些不影响视觉判断的改变就可以轻松攻破人脸识别系统,例如让邻家女孩和男明星被判断成同一个人,这便是对抗攻击。对抗攻击的目标是寻找自然的且能够让神经网络混淆的对抗样本,从本质上讲,找到对抗样本也就是找到了神经网络的脆弱之处。


近日,来自东方理工的研究团队提出了一种广义流形对抗攻击的范式(Generalized Manifold Adversarial Attack, GMAA),将传统的 “点” 攻击模式推广为 “面” 攻击模式,极大提高了对抗攻击模型的泛化能力,为对抗攻击的工作展开了一个新的思路。


该研究从目标域和对抗域两个方面对先前的工作做了改进。在目标域上,该研究通过攻击目标身份的状态集合找到高泛化的更强大的对抗样本。对于对抗域,先前的工作都是在寻找离散的对抗样本,即找到了系统的几个 “漏洞”(点),而该研究则在寻找连续的对抗流形,即要找到神经网络脆弱的整片 “区域”(面)。此外,该研究引入表情编辑的领域知识,提出了基于表情状态空间实例化的新范式。通过对生成的对抗流形连续采样可以获得表情连续变化的高泛化性对抗样本,相比于化妆、光照、添加扰动等手段,表情状态空间更加普适自然,不受性别、光照的影响。研究论文已被 CVPR 2023 接收。



论文链接:https://arxiv.org/abs/2301.06083

代码链接 https://github.com/tokaka22/GMAA


方法介绍


在目标域部分,先前的工作都是针对目标身份 A 的某一张特定的照片去设计对抗样本。但是如图 2 所示,当用这种攻击方式生成的对抗样本去攻击 A 的另一张照片时,攻击效果会大幅下降。面对此类攻击,定期更换人脸识别库中的照片自然是一种有效的防御措施。但是,该研究提出的 GMAA 不仅针对目标身份的单个样本进行训练,而且寻找能攻击目标身份状态集合的对抗样本,这样的高泛化性的对抗样本面对更新后的人脸识别库具备更好的攻击性能。这些更强大的对抗样本也对应着神经网络更为薄弱之处,值得深入探索。


在对抗域部分,先前的工作都是寻找离散的一个或几个对抗样本,这相当于在高维空间中找到了神经网络脆弱的一个或几个 “点”,而该研究认为,神经网络可能在一整个 “面” 上都是脆弱的,应该将这个 “面” 上的对抗样本 “一网打尽”。因此,该研究致力于寻找高维空间中的对抗流形。


综上,GMAA 是一种用对抗流形去攻击目标身份的状态集合的新攻击范式。


文章的核心思想如图 1 所示。




具体来说,该研究引入表情编辑的领域知识 Facial Action Coding System (FACS),用表情状态空间来实例化所提出的新攻击范式。FACS 是一种面部表情编码系统,它将面部分为不同的肌肉单元,其中 AU 向量中的每个元素都对应了一个肌肉单元,向量元素值的大小表示了对应单元的肌肉活跃程度,从而编码表情状态。例如下图中,AU 向量中的第一个元素 AU1 表示了提起内侧眉毛的程度。


来自《面部表情解剖学》


对于目标域,该研究攻击含有多种表情状态的目标集合,从而实现对未知的目标照片也有较好的攻击性能;对于对抗域,该研究建立与 AU 空间一一对应的对抗流形,可以用改变 AU 值的方式,在对抗流形上采样对抗样本,连续地改变 AU 值,就可以生成表情连续变化的对抗样本。


值得注意的是,该研究采用表情状态空间来实例化 GMAA 攻击范式。这是因为表情是人面部活动中最常见的一种状态,而且表情状态空间相对稳定,不会受到人种、性别的影响(光照可改变肤色、化妆则会影响性别)。事实上,只要能找到其他合适的状态空间,该攻击范式就完全可以被推广应用于自然界的其他对抗攻击任务中。


模型结果


下面的动图展示了该研究的可视化结果。动图的每一帧都是在对抗流形上采样得到的对抗样本,连续地采样就可以获得表情连续改变的一系列对抗样本(左侧),红色的数值表示当前帧的对抗样本与目标样本(右侧)在 Face++ 人脸识别系统下的相似度。



在表 1 中,研究列出了 4 个人脸识别模型在两个数据集上的黑盒攻击成功率,其中,MAA是GMAA的缩减版,MAA仅在对抗域上将点攻击的模式推广到了流形攻击,目标域上依然是对单个目标照片进行攻击。攻击目标的状态集合是一种通用的实验设置,文章在表2中为包括MAA在内的三种方法加上了这种设置(表中加粗的部分是加上这种设置的结果,在方法的名称前加上了“G”以示区分),验证了目标域的扩充可以提升对抗样本的泛化性。



图 4 展示了攻击两个商业人脸识别系统 API 的结果。



该研究还探讨了不同的表情对攻击性能的影响,以及状态集合中含有样本的数量对攻击泛化性能的影响。




图 6 展示了不同方法的可视化结果对比,MAA 在对抗流形上采样了 20 个对抗样本,可以看到可视化效果更加的自然。



当然,并不是所有的数据集都有一个身份的不同状态的图片,对于这种情况怎么做目标域的扩充呢?该研究也给出了一个可行的解决方案,即用 AU 向量和表情编辑模型生成目标状态集合,文章也呈现了攻击合成的目标状态集合的结果,可以发现泛化性能也有一定提升。



原理方法


模型的主干包含了基于 WGAN-GP 的生成模块、表情监督模块、可转移性增强模块、广义攻击模块。其中,广义攻击模块实现了攻击目标状态集合的功能,可转移性增强模块来自于先前的工作,为了公平对比,所有的 baseline 都加上了这一模块。表情监督模块由 4 个训练好的表情编辑器构成,通过全局结构监督和局部细节监督来实现对抗样本的表情变换。




对于表情监督模块,论文的支持材料中给出了相应的消融实验,验证了局部细节监督可以减少生成图片的伪影和模糊,有效地提高对抗样本的视觉质量,同时可以提高对抗样本的表情合成准确性。



此外,论文定义了连续对抗流形和语义连续对抗流形的概念,并详细证明了生成的对抗流形与 AU 向量空间同胚。



总结


综上所述,该研究提出了一种新的名为 GMAA 的攻击范式,同时扩展了目标域和对抗域,提高了攻击的性能。对于目标域,GMAA 通过攻击状态集合而不是单张图像来提升对目标身份的泛化能力。此外,GMAA 将对抗域从离散点扩展到语义连续的对抗流形(“由点到面”)。该研究通过引入表情编辑的领域知识实例化了 GMAA 攻击范式。大量的对比实验证明,GMAA 具有比其他竞争模型更好的攻击性能和更自然的视觉质量。


© THE END 

转载请联系本公众号获得授权

投稿或寻求报道:[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
CVPR 2023 | 统一框架MAGE:表征学习超MAE,无监督图像生成超越Latent Diffusion看美国人的眩富。。。CVPR 2023 | 超越MAE!谷歌提出MAGE:图像分类和生成达到SOTA!今年 CV 热点这么多,不可错过 CVPR 2023 线下论文分享会2023 春 祝姐妹们周末快乐!谷歌推出多模态Vid2Seq,理解视频IQ在线,字幕君不会下线了|CVPR 2023CVPR 2023 | 中山大学HCP实验室新突破:用因果范式再升级多模态大模型CVPR 2023 | 一块隔热片即可实现红外场景下的物理攻击,北航提出针对红外行人检测器的漏洞挖掘技术CVPR 2023 | 即插即用!SQR:对于训练DETR-family目标检测的探索和思考古巴行 (3)世遗小镇Trinidad + 潜水天堂-猪湾妇女节专刊|女性主义声量爆发的背后,是每个个体对无言瞬间的重新审视CVPR 2023 接收结果出炉!再创历史新高!录用2360篇!(附10篇最新论文)ECCV 2022 | SegPGD: 能有效提升语义分割模型鲁棒性的对抗攻击方法CVPR 2023论文总结!CV最热领域颁给多模态、扩散模型CVPR 2023 | EMA-VFI: 基于帧间注意力提取运动和外观信息的高效视频插帧国际要闻简报,轻松了解天下事(03CVPR 2023 Workshop | 动态点云感知任务挑战赛启动!CVPR 2023 | 浙大提出全归一化流模型PyramidFlow:高分辨率缺陷异常定位新范式CVPR 2023 | 大模型流行之下,SN-Net给出一份独特的答卷录用2360篇、接收率25.78%,CVPR 2023接收结果公布CVPR 2023 Workshop | 马普所、麻省理工等举办生成模型研讨会CVPR 2023 | G2SD: 让小模型也能从自监督预训练中受益的蒸馏方法2022&2023 Subaru Outback 和 2023 Honda CRV Hybrid二选一转:2023 回国探亲(5)CVPR 2023 | YOLOv7强势收录!时隔6年,YOLOv系列再登CVPR!Eruope 2023CVPR 2023 | GAN的反击!朱俊彦新作GigaGAN,出图速度秒杀Stable Diffusion!速度提升24倍,30分钟完成室内大场景逆渲染,如视研究成果入选CVPR 2023CVPR 2023 | Uni3D: 首个多数据集3D目标检测框架证件照转数字人只需几秒钟,微软实现首个3D扩散模型高质量生成效果,换装改形象一句话搞定 | CVPR 2023CVPR 2023 | 即插即用!BRA:新注意力,BiFormer:一种视觉新主干看电影《造梦之家》CVPR2023 | 微软提出高效率大规模图文检索模型邓小平给毛泽东写信谋再次上台针对中国游客,日韩又有新动作了?大脑视觉信号被Stable Diffusion复现图像!“人类的谋略和谎言不存在了” | CVPR2023杭电小哥抢先搞定GPT读图功能,单卡就能实现新SOTA,代码已开源|CVPR2023CVPR 2023 | 基于CLIP的微调新范式!训练速度和性能均创新高!CVPR 2023 | 谷歌、MIT提出统一框架MAGE:表征学习超MAE,无监督图像生成超越 Latent DiffusionCVPR 2023 | GAN的反击!朱俊彦新作GigaGAN,出图速度秒杀Stable Diffusion
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。