Boosting Adversarial Transferability for Skeleton-based Action Recognition via Exploring the Model Posterior Space

要約

骨格の動きは、人間の活動認識 (HAR) において極めて重要な役割を果たします。
最近、スケルトンベースの HAR(S-HAR) の普遍的な脆弱性を特定する攻撃手法が提案されています。
しかし、S-HAR における敵対的転送可能性の研究はほとんど行われていません。
さらに重要なことは、既存の攻撃はすべて、未知の S-HAR モデル間での転送に苦労していることです。
私たちは、その主な理由は、アクション認識機能の損失状況が険しく鋭いことであると観察しました。
先行研究で確立された損失状況と敵対的転送可能性との相関関係を考慮して、損失状況を平滑化することで S-HAR 上の敵対的転送可能性が向上する可能性があると仮定し、経験的に検証します。
これは、再トレーニングを必要とせずにサロゲートのコレクションのモデル事後空間を効果的に探索できる、新しいトレーニング後のデュアル ベイジアン戦略を提案することによって実現されます。
さらに、モーション多様体に沿って敵対的な例を作成するために、ベイジアン方式でモーション ダイナミクスの情報を含む攻撃勾配を組み込みます。
ベンチマーク データセットで評価されます。
HDM05 と NTU 60 では、平均転送成功率がそれぞれ 35.9\% と 45.5\% に達する可能性があります。
比較すると、現在の最先端の骨格攻撃では、わずか 3.6\% と 9.8\% しか達成できません。
高い敵対的転送可能性は、さまざまな代理モデル、被害者モデル、さらには防御モデルにわたって一貫しています。
結果の包括的な分析を通じて、どの代理動物が転移性を示す可能性が高いかについての洞察を提供し、将来の研究に光を当てます。

要約(オリジナル)

Skeletal motion plays a pivotal role in human activity recognition (HAR). Recently, attack methods have been proposed to identify the universal vulnerability of skeleton-based HAR(S-HAR). However, the research of adversarial transferability on S-HAR is largely missing. More importantly, existing attacks all struggle in transfer across unknown S-HAR models. We observed that the key reason is that the loss landscape of the action recognizers is rugged and sharp. Given the established correlation in prior studies~\cite{qin2022boosting,wu2020towards} between loss landscape and adversarial transferability, we assume and empirically validate that smoothing the loss landscape could potentially improve adversarial transferability on S-HAR. This is achieved by proposing a new post-train Dual Bayesian strategy, which can effectively explore the model posterior space for a collection of surrogates without the need for re-training. Furthermore, to craft adversarial examples along the motion manifold, we incorporate the attack gradient with information of the motion dynamics in a Bayesian manner. Evaluated on benchmark datasets, e.g. HDM05 and NTU 60, the average transfer success rate can reach as high as 35.9\% and 45.5\% respectively. In comparison, current state-of-the-art skeletal attacks achieve only 3.6\% and 9.8\%. The high adversarial transferability remains consistent across various surrogate, victim, and even defense models. Through a comprehensive analysis of the results, we provide insights on what surrogates are more likely to exhibit transferability, to shed light on future research.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google