StyleFool: Fooling Video Classification Systems via Style Transfer

要約

タイトル：スタイル転送による動画分類システムの欺瞞：StyleFool

要約：
– 動画分類システムは、敵対攻撃に脆弱である。
– 現在のブラックボックス攻撃は成功するために多数のクエリが必要であり、攻撃の過程で高い計算オーバーヘッドをもたらす。
– 制限された摂動攻撃は、除去または敵対的トレーニングなどの防御策に対して効果がない。
– 本論文では、制限のない摂動攻撃に焦点を当て、動画分類システムを欺瞞するためのスタイル転送を利用したブラックボックス動画敵対攻撃「StyleFool」を提案している。
– StyleFoolは、スタイル画像を選択するために色のテーマの近接性を最初に利用し、スタイル化された動画で不自然な詳細を回避するのに役立つ。
– 同時に、ターゲットクラスの信頼度は、分類器の出力分布に影響を与えるために対象にされた攻撃において、スタイルズされた動画を決定境界に近づけまたはまたは境界を超えさせるために追加的に考慮される。
– 摂動攻撃をさらに最適化するために、勾配フリーの方法を採用する。
– UCF-101およびHMDB-51の2つの標準的なデータセットでStyleFoolを評価するために、広範な実験を実施する。
– 実験結果は、StyleFoolが既存の防御策に対する耐久性およびクエリの数の両方の面で最先端の敵対攻撃を上回ることを示している。
– さらに、非対象攻撃の50％のスタイル化された動画は、すでに動画分類モデルを欺瞞することができるため、クエリを必要としない。
– また、ユーザースタディによる区別可能性を評価して、制限のない摂動にもかかわらず、StyleFoolの敵対的なサンプルが人間の目に対して不可分であることを示す。

要約(オリジナル)

Video classification systems are vulnerable to adversarial attacks, which can create severe security problems in video verification. Current black-box attacks need a large number of queries to succeed, resulting in high computational overhead in the process of attack. On the other hand, attacks with restricted perturbations are ineffective against defenses such as denoising or adversarial training. In this paper, we focus on unrestricted perturbations and propose StyleFool, a black-box video adversarial attack via style transfer to fool the video classification system. StyleFool first utilizes color theme proximity to select the best style image, which helps avoid unnatural details in the stylized videos. Meanwhile, the target class confidence is additionally considered in targeted attacks to influence the output distribution of the classifier by moving the stylized video closer to or even across the decision boundary. A gradient-free method is then employed to further optimize the adversarial perturbations. We carry out extensive experiments to evaluate StyleFool on two standard datasets, UCF-101 and HMDB-51. The experimental results demonstrate that StyleFool outperforms the state-of-the-art adversarial attacks in terms of both the number of queries and the robustness against existing defenses. Moreover, 50% of the stylized videos in untargeted attacks do not need any query since they can already fool the video classification model. Furthermore, we evaluate the indistinguishability through a user study to show that the adversarial samples of StyleFool look imperceptible to human eyes, despite unrestricted perturbations.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI