Sibling-Attack: Rethinking Transferable Adversarial Attacks against Face Recognition

要約

実用的な顔認識 (FR) 攻撃を開発する際の困難な課題は、ターゲット FR モデルのブラック ボックスの性質、つまり、攻撃者がアクセスできない勾配とパラメーター情報によるものです。
最近の研究では、転送可能性を活用してブラックボックス FR モデルを攻撃するための重要な一歩を踏み出しましたが、特に悲観的な可能性があるオンラインの商用 FR システム (たとえば、ASR が 50% 未満 – 平均で攻撃成功率) に対しては、パフォーマンスがまだ制限されています。
）。
これに動機付けられて、新しい FR 攻撃手法である Sibling-Attack を紹介します。これは、新しいマルチタスクの視点を初めて探求するものです (つまり、多相関タスクからの追加情報を活用して、攻撃の転送可能性を高めます)。
直感的に、Sibling-Attack は FR と相関する一連のタスクを選択し、理論的および定量的分析に基づいて Sibling-Attack で使用されるタスクとして属性認識 (AR) タスクを選択します。
次に、Sibling-Attack は、(1) クロスタスク機能を同じ空間の下に制限すること、(2) タスク間の勾配の互換性を強化する共同タスク メタ最適化フレームワーク、および (
3）攻撃中の振動効果を緩和するクロスタスク勾配安定化方法。
広範な実験により、Sibling-Attack が最先端の FR 攻撃手法よりもはるかに優れていることが実証されており、最先端の事前トレーニング済み FR モデルと 2 つの
よく知られており、広く使用されている商用 FR システム。

要約(オリジナル)

A hard challenge in developing practical face recognition (FR) attacks is due to the black-box nature of the target FR model, i.e., inaccessible gradient and parameter information to attackers. While recent research took an important step towards attacking black-box FR models through leveraging transferability, their performance is still limited, especially against online commercial FR systems that can be pessimistic (e.g., a less than 50% ASR–attack success rate on average). Motivated by this, we present Sibling-Attack, a new FR attack technique for the first time explores a novel multi-task perspective (i.e., leveraging extra information from multi-correlated tasks to boost attacking transferability). Intuitively, Sibling-Attack selects a set of tasks correlated with FR and picks the Attribute Recognition (AR) task as the task used in Sibling-Attack based on theoretical and quantitative analysis. Sibling-Attack then develops an optimization framework that fuses adversarial gradient information through (1) constraining the cross-task features to be under the same space, (2) a joint-task meta optimization framework that enhances the gradient compatibility among tasks, and (3) a cross-task gradient stabilization method which mitigates the oscillation effect during attacking. Extensive experiments demonstrate that Sibling-Attack outperforms state-of-the-art FR attack techniques by a non-trivial margin, boosting ASR by 12.61% and 55.77% on average on state-of-the-art pre-trained FR models and two well-known, widely used commercial FR systems.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google