要約
この論文では、GAN を使用せずに自然主義的な敵対的パッチを生成するための新しいアプローチを紹介します。
私たちが提案するアプローチは、現実世界のシナリオで高い攻撃効率と堅牢性を維持しながら、自然に見える動的敵対的パッチ (DAP) を生成します。
これを達成するために、新しい目的関数を導入して最適化問題を再定義します。ここでは、類似性メトリックを使用して類似性損失を構築します。
これにより、パッチは、被害モデルの損失関数を最大化しながら、事前定義されたパターンに従うようになります。
私たちの技術は、パッチ内のピクセル値を直接変更することに基づいており、GAN ベースの技術と比較して、より高い柔軟性と複数の変換を組み込むためのより大きなスペースを提供します。
さらに、衣服を使った物理的攻撃のほとんどは静的な物体を想定しており、人の姿勢の変化による非剛体変形によって引き起こされる可能性のある変形を無視しています。
この制限に対処するために、「Creases Transformation」(CT) ブロック、つまり、トレーニング プロセスに組み込まれる変換パッチの大きなバリエーションを生成するために使用される Expectation Over Transformation (EOT) ブロックに続く前処理ブロックを組み込んで、
現実世界のさまざまな歪み(衣服のしわ、回転、再スケーリング、ランダムノイズ、明るさとコントラストの変動など)に対する堅牢性。
私たちは、現実世界の衣服や物体のポーズのさまざまなバリエーション(つまり、前述の歪み)の存在が、最先端の攻撃のパフォーマンスの低下につながることを実証します。
たとえば、これらの手法は、物理世界では 20\%、デジタル世界では 30.8\% しか達成できませんが、スマート デバイスに導入された YOLOv3tiny 検出器を攻撃する場合、私たちの攻撃はそれぞれ最大 65\% と 84.56\% という優れた成功率を示します。
端にあるカメラ。
要約(オリジナル)
In this paper, we present a novel approach for generating naturalistic adversarial patches without using GANs. Our proposed approach generates a Dynamic Adversarial Patch (DAP) that looks naturalistic while maintaining high attack efficiency and robustness in real-world scenarios. To achieve this, we redefine the optimization problem by introducing a new objective function, where a similarity metric is used to construct a similarity loss. This guides the patch to follow predefined patterns while maximizing the victim model’s loss function. Our technique is based on directly modifying the pixel values in the patch which gives higher flexibility and larger space to incorporate multiple transformations compared to the GAN-based techniques. Furthermore, most clothing-based physical attacks assume static objects and ignore the possible transformations caused by non-rigid deformation due to changes in a person’s pose. To address this limitation, we incorporate a “Creases Transformation” (CT) block, i.e., a preprocessing block following an Expectation Over Transformation (EOT) block used to generate a large variation of transformed patches incorporated in the training process to increase its robustness to different possible real-world distortions (e.g., creases in the clothing, rotation, re-scaling, random noise, brightness and contrast variations, etc.). We demonstrate that the presence of different real-world variations in clothing and object poses (i.e., above-mentioned distortions) lead to a drop in the performance of state-of-the-art attacks. For instance, these techniques can merely achieve 20\% in the physical world and 30.8\% in the digital world while our attack provides superior success rate of up to 65\% and 84.56\%, respectively when attacking the YOLOv3tiny detector deployed in smart cameras at the edge.
arxiv情報
著者 | Amira Guesmi,Ruitian Ding,Muhammad Abdullah Hanif,Ihsen Alouani,Muhammad Shafique |
発行日 | 2023-05-19 11:52:42+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google