LogoStyleFool: Vitiating Video Recognition Systems via Logo Style Transfer

要約

ビデオ認識システムは、敵対的な例に対して脆弱です。
最近の研究では、スタイル転送ベースおよびパッチベースの無制限の摂動が攻撃効率を効果的に向上できることが示されています。
ただし、これらの攻撃は 2 つの主要な課題に直面しています。1) すべてのピクセルに大きな様式化された摂動を追加すると、ビデオの自然さが低下しますが、そのような摂動は簡単に検出できます。
2) パッチベースのビデオ攻撃は、最近ビデオ攻撃で広く使用されている強化学習の探索空間が限られているため、標的型攻撃には拡張できません。
この論文では、ビデオのブラックボックス設定に焦点を当て、クリーンなビデオに様式化されたロゴを追加することにより、LogoStyleFool という名前の新しい攻撃フレームワークを提案します。
攻撃を 3 つの段階に分けます。スタイル参照の選択、強化学習ベースのロゴ スタイルの転送、および摂動の最適化です。
最初の課題は摂動範囲を地域ロゴまでスケールダウンすることで解決し、2 番目の課題は強化学習後の最適化段階を補完することで解決します。
実験結果は、攻撃パフォーマンスとセマンティック保存の点で、3 つの最先端のパッチベース攻撃よりも LogoStyleFool が総合的に優れていることを実証しています。
一方、LogoStyleFool は、2 つの既存のパッチベースの防御方法に対して依然としてパフォーマンスを維持しています。
私たちは、このようなサブリージョン型転送攻撃に対するセキュリティ コミュニティの注目を高める上で、私たちの研究が有益であると信じています。

要約(オリジナル)

Video recognition systems are vulnerable to adversarial examples. Recent studies show that style transfer-based and patch-based unrestricted perturbations can effectively improve attack efficiency. These attacks, however, face two main challenges: 1) Adding large stylized perturbations to all pixels reduces the naturalness of the video and such perturbations can be easily detected. 2) Patch-based video attacks are not extensible to targeted attacks due to the limited search space of reinforcement learning that has been widely used in video attacks recently. In this paper, we focus on the video black-box setting and propose a novel attack framework named LogoStyleFool by adding a stylized logo to the clean video. We separate the attack into three stages: style reference selection, reinforcement-learning-based logo style transfer, and perturbation optimization. We solve the first challenge by scaling down the perturbation range to a regional logo, while the second challenge is addressed by complementing an optimization stage after reinforcement learning. Experimental results substantiate the overall superiority of LogoStyleFool over three state-of-the-art patch-based attacks in terms of attack performance and semantic preservation. Meanwhile, LogoStyleFool still maintains its performance against two existing patch-based defense methods. We believe that our research is beneficial in increasing the attention of the security community to such subregional style transfer attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google