Hard No-Box Adversarial Attack on Skeleton-Based Human Action Recognition with Skeleton-Motion-Informed Gradient

要約

最近、スケルトンベースの人間の活動を認識する方法は、敵対的な攻撃に対して脆弱であることが示されています。
ただし、これらの攻撃方法では、被害者の完全な知識 (つまり、ホワイトボックス攻撃)、トレーニング データへのアクセス (つまり、転送ベースの攻撃)、または頻繁なモデル クエリ (つまり、ブラック ボックス攻撃) のいずれかが必要です。
すべての要件は非常に制限的であり、この脆弱性がどれほど有害であるかという疑問が生じています。
このペーパーでは、この脆弱性が実際に存在することを示します。
この目的を達成するために、新しい攻撃タスクを検討します。攻撃者は被害者モデル、トレーニング データ、ラベルにアクセスできません。ここでハード ノーボックス攻撃という用語を作りました。
具体的には、最初にモーション多様体を学習します。そこでは、スケルトンモーションインフォームド（SMI）勾配と呼ばれる、攻撃の新しい勾配を計算するために敵対的損失を定義します。
私たちの勾配には動きのダイナミクスの情報が含まれており、データの各次元が独立していると仮定して損失勾配を計算する既存の勾配ベースの攻撃手法とは異なります。
SMI 勾配は多くの勾配ベースの攻撃手法を強化し、ノーボックス攻撃手法の新しいファミリーにつながります。
広範な評価と比較により、私たちの方法が既存の分類器に真の脅威を与えることがわかりました。
また、SMI 勾配が、ボックスなしおよび転送ベースのブラック ボックス設定の両方で、敵対的サンプルの転送可能性と知覚不能性を向上させることも示しています。

要約(オリジナル)

Recently, methods for skeleton-based human activity recognition have been shown to be vulnerable to adversarial attacks. However, these attack methods require either the full knowledge of the victim (i.e. white-box attacks), access to training data (i.e. transfer-based attacks) or frequent model queries (i.e. black-box attacks). All their requirements are highly restrictive, raising the question of how detrimental the vulnerability is. In this paper, we show that the vulnerability indeed exists. To this end, we consider a new attack task: the attacker has no access to the victim model or the training data or labels, where we coin the term hard no-box attack. Specifically, we first learn a motion manifold where we define an adversarial loss to compute a new gradient for the attack, named skeleton-motion-informed (SMI) gradient. Our gradient contains information of the motion dynamics, which is different from existing gradient-based attack methods that compute the loss gradient assuming each dimension in the data is independent. The SMI gradient can augment many gradient-based attack methods, leading to a new family of no-box attack methods. Extensive evaluation and comparison show that our method imposes a real threat to existing classifiers. They also show that the SMI gradient improves the transferability and imperceptibility of adversarial samples in both no-box and transfer-based black-box settings.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google