前言

Title:Dynamic Adversarial Patch for Evading Object Detection Models

Subject: arXiv-20

Link:[Paper]

Keyword:Adversarial Patches

动机(Motivation)

​ 对抗补丁(Adversarial Patches)对于拍摄位置的改变不具有鲁棒性,同时,现有的对抗补丁不能应用于非平面物体。

​ 本文提出Dynamic Adversarial Patch,将Patches 放在目标预定位置,并通过对抗算法进行补丁生成。Dynamic主要是通过切换相机的角度优化Patches

方法(Method)

  1. 为了模型真实世界中设备限制,使用 random noise改变 Patchesbrightnesscontrast,从而增强攻击的Robustness
  2. Patches 应用于 Img,并且通过检测模型 YOLO 计算 loss,并 最大化 Obj_lossCls_loss
  3. 为保证生成 Patches的平滑度,使用tv_loss 进行限制

其中tv_loss(total variation) 如下:

为保证car的分类与原始的分类没有语义关联,从而最大程度扩大攻击效果,因此:

其中 表示与 car 有语义关联的类别的集合,通过计算 loss,最大化攻击威胁。

结果(Result)

Patches 检测可视化结果

攻击结果

总结(Conclusion)

  1. 通过对不同角度的相机位置的研究,形成dynamic的对抗样本
  2. 在不同的车辆模型上进行实验,证明攻击可以迁移到不同的车辆上
  3. 在模型之间,如faster rcnnyolov2 之间没有迁移性,也许同时优化不同模型的目标函数可以提高鲁棒性。
  4. 从语义相似性角度,使得car 被识别为其他的语义差距巨大的类别,从而最大化攻击威胁