Adv-Diffusion: Imperceptible Adversarial Face Identity Attack via Latent Diffusion Model

要約

敵対的攻撃には、ソース画像に摂動を加えてターゲット モデルによる誤分類を引き起こすことが含まれており、これは顔認識モデルを攻撃する可能性を示しています。
既存の敵対的顔画像生成手法は、伝達性の低さと検出性の高さのため、依然として満足のいく性能を達成できていません。
この論文では、生のピクセル空間ではなく、潜在空間で知覚できない敵対的アイデンティティ摂動を生成できる統一フレームワーク Adv-Diffusion を提案します。これは、潜在拡散モデルの強力な修復機能を利用して現実的な敵対的画像を生成します。
具体的には、周囲に意味論的な摂動を生成するための、アイデンティティに敏感な条件付き拡散生成モデルを提案します。
設計された適応強度ベースの敵対的摂動アルゴリズムにより、攻撃の伝達性とステルス性の両方を保証できます。
公開されている FFHQ および CelebA-HQ データセットに対する広範な定性的および定量的実験により、提案された方法が追加の生成モデル トレーニング プロセスなしで最先端の方法と比較して優れたパフォーマンスを達成することが証明されました。
ソース コードは https://github.com/kopper-xdu/Adv-Diffusion で入手できます。

要約(オリジナル)

Adversarial attacks involve adding perturbations to the source image to cause misclassification by the target model, which demonstrates the potential of attacking face recognition models. Existing adversarial face image generation methods still can’t achieve satisfactory performance because of low transferability and high detectability. In this paper, we propose a unified framework Adv-Diffusion that can generate imperceptible adversarial identity perturbations in the latent space but not the raw pixel space, which utilizes strong inpainting capabilities of the latent diffusion model to generate realistic adversarial images. Specifically, we propose the identity-sensitive conditioned diffusion generative model to generate semantic perturbations in the surroundings. The designed adaptive strength-based adversarial perturbation algorithm can ensure both attack transferability and stealthiness. Extensive qualitative and quantitative experiments on the public FFHQ and CelebA-HQ datasets prove the proposed method achieves superior performance compared with the state-of-the-art methods without an extra generative model training process. The source code is available at https://github.com/kopper-xdu/Adv-Diffusion.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google