前言

Title:Perceptual-Sensitive GAN for Generating Adversarial Patches

Subject: AAAI-19

Link:[Paper]

Keyword:Adversarial PatchesGANAttention

动机(Motivation)

​ 对抗补丁(Adversarial Patches)对于网络具有一定的攻击性,但是视觉上不够自然,并且对抗补丁忽略了被攻击模型的感知敏感性。

​ 本文提出PS-GAN,同时增强对抗补丁的视觉保真度和攻击能力。主要是通过 patch-to-patch translationattention mechanism 来产生更自然、更具攻击性的对抗补丁。

方法(Method)

  1. 对于Traffic Sign ,通过Attention Model 获得 中最具感知敏感性的位置,该位置对于攻击更加敏感。
  2. 对于Seed Patch , 通过Generator 得到对抗补丁
  3. 应用于 ,得到Fake Traffic Sign , 将其输入 Target Model Discriminator , 得到 loss 后进行梯度对抗攻击迭代模型参数

其中Attention Model 使用 GradCAM 如下:

结果(Result)

Patches 可视化结果

攻击结果

总结(Conclusion)

  1. 使用GradCAM 获得攻击敏感位置,并将Patches 应用,可以提高攻击强度
  2. 通过 GAN 生成受约束的 Patches,将Patches 变得更加自然,具有一定语义信息
  3. 未解决Patches 与 图像上下文不相容的问题,如果将 作为Seed Patch ,最后生成 Patches,Patches在视觉上更不可被人察觉。
  4. 本文尚未提供代码,因此更多细节不必深究