要約
物理的な敵対的攻撃は、悪意を持って設計された顕著な物理的摂動を生成することによって現実世界で動作する深層学習システムを欺くため、重大な現実的な脅威をもたらします。
人間は不自然な操作を容易に検出して排除できるため、このような攻撃では自然性の評価を重視することが重要です。
この制限を克服するために、最近の研究では、敵対的生成ネットワーク (GAN) を活用して、人間の注意を引かない可能性がある自然主義的なパッチを生成することが提案されています。
ただし、これらのアプローチには潜在スペースが限られているため、自然さと攻撃効率の間に避けられないトレードオフが生じます。
この論文では、自然で目立たない敵対的なパッチを生成するための新しいアプローチを提案します。
具体的には、コスト関数に追加の損失項を導入することで、最適化問題を再定義します。
この用語は、生成されたカモフラージュ パターンが任意のパターンではなく意味論的な意味を保持することを保証するための意味論的な制約として機能します。
追加の項は、類似性メトリックを活用して、グローバル目的関数内で最適化する類似性損失を構築します。
私たちの技術は、パッチ内のピクセル値を直接操作することに基づいており、潜在ベクトルを変更することによって間接的にパッチを最適化することに基づく GAN ベースの技術と比較して、より高い柔軟性とより大きなスペースが得られます。
当社の攻撃は、GAN ベースの手法と比較して、デジタル世界およびエッジのスマート カメラに展開された場合に、それぞれ最大 91.19\% および 72\% という優れた成功率を達成しました。
要約(オリジナル)
Physical adversarial attacks pose a significant practical threat as it deceives deep learning systems operating in the real world by producing prominent and maliciously designed physical perturbations. Emphasizing the evaluation of naturalness is crucial in such attacks, as humans can readily detect and eliminate unnatural manipulations. To overcome this limitation, recent work has proposed leveraging generative adversarial networks (GANs) to generate naturalistic patches, which may not catch human’s attention. However, these approaches suffer from a limited latent space which leads to an inevitable trade-off between naturalness and attack efficiency. In this paper, we propose a novel approach to generate naturalistic and inconspicuous adversarial patches. Specifically, we redefine the optimization problem by introducing an additional loss term to the cost function. This term works as a semantic constraint to ensure that the generated camouflage pattern holds semantic meaning rather than arbitrary patterns. The additional term leverages similarity metrics to construct a similarity loss that we optimize within the global objective function. Our technique is based on directly manipulating the pixel values in the patch, which gives higher flexibility and larger space compared to the GAN-based techniques that are based on indirectly optimizing the patch by modifying the latent vector. Our attack achieves superior success rate of up to 91.19\% and 72\%, respectively, in the digital world and when deployed in smart cameras at the edge compared to the GAN-based technique.
arxiv情報
著者 | Amira Guesmi,Ioan Marius Bilasco,Muhammad Shafique,Ihsen Alouani |
発行日 | 2024-02-09 08:57:35+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google