本文介紹的是CVPR2020論文《Adversarial Camouflage: Hiding Physical-World Attacks with Natural Styles》,作者是來自澳大利亞Swinbourne大學的段 然傑。 作者 | 段然傑編輯 | 叢 末
論文地址:https://arxiv.org/abs/2003.08757開源地址:https://github.com/RjDuan/AdvCam-Hide-Adv-with-Natural-Styles
想象一下,有一天你坐在自動駕駛汽車行駛在街道上,右前方有個stop的牌子,除了有點舊,看起來並沒有什麼異樣,你沒有留心太多,繼續專注手頭的工作,可是車並沒有停下來…
如果你是廣大煉丹師的一員,你一定聽說過對抗樣本,對抗樣本作為神經網路出其不意的bug,近年引起很多關注,在你的印象中,ta可能是這樣子的:
Figure 1. FGSM [1]
這是最初提出的對抗樣本的形態[1],與原圖相比 (左一),對抗樣本(右一) 僅僅增加了非常小的干擾,就使神經網路將熊貓識別為gibbon (長臂猿)。為了凸顯計算機視覺系統在人眼看來“普通圖片”上截然不同的決策原理,在後續一系列的研究中,研究者們都限制對抗樣本只能進行微小 (Lp-norm-bounded) 的修改,以維持改變的不可察覺性。
但是, 由於現實環境的多種因素 (例如光照、拍攝距離等),這種小量的干擾不易被相機等裝置捕捉到,從而只能在數字世界裡發揮作用。當然,也有一些工作將對抗樣本帶到現實世界中,併產生威脅,例如Brown等人在2017年提出的adversarial patch [2]:
Figure 2. Adversarial patch [2]
以及應用於交通標誌的“對抗貼紙“ [3]:
Figure 4. RP2 [3]
但是,這些工作將對抗樣本帶到現實世界中同時,過大的干擾形成的詭異圖案也變得容易被人察覺。所以, 有沒辦法能讓對抗樣本在現實世界中也做到不可察覺呢?
本文介紹一篇CVPR 2020的工作:對抗偽裝(adversarial camouflage: hiding physical-world attacks with naturalstyles)。在該項工作中,來自澳大利亞Swinbourne大學、墨爾本大學、以及上海交通大學的研究者們通過一個結合了風格遷移和對抗攻擊的框架(AdvCam)可以將對抗樣本的風格進行個性化偽裝。攻擊者可以隨意選擇自己喜歡的風格和攻擊區域進行攻擊並偽裝。從此,對抗攻擊變得更有意思了呢…
例如,下面幾張圖片,你看出來哪裡變了麼?
手 槍 or廁紙?
汽車or 交通燈?
刀鞘 or 錢包?
小獵 狗 or 熊皮?
Figure5.
不同於之前的工作,通過限定L-p norm要求對抗樣本儘可能與原圖差別不大,本文作者通過融合風格遷移方法定義了一種新穎的正規化來實現對抗樣本的不可察覺性:
作為攻擊者,在確定了攻擊目標的周邊環境後,攻擊者可以通過自定義風格將攻擊後的物體進行偽裝。例如,對交通指示牌的攻擊可以隨意偽裝成:泥點、褪色或者雪漬等自然常見的樣子:
Figure6
在真實物理世界裡,這種偽裝方式可以讓對抗攻擊以各種形態偽裝在各種角落裡。
比如,隨意懸掛的一個交通指示牌,其實是一個“理髮店”(what??):
再比如,“樹皮”也可以被識別為街道標識:
作者還展示了這種偽裝的另一個用途:保護個人隱私。例如在各種監控裝置的場景下,使用者個人可以用定製具有對抗效果的T恤用於避免被深度學習加持監控裝置追蹤:
Figure7.
當使用者身穿這件經過特殊設計的T恤的圖片被傳到網上後,也可以防止被google image search識別, 該方法也可以防止具有隱私內容的圖片被AI工具自動抓取等。趣味性和安全性兩不誤!下圖是Google Image Search的結果:鬥牛犬!
Figure8.
Reference:
[1] ChristianSzegedy, Wojciech Zaremba, Ilya Sutskever, Joan Bruna, Dumitru Erhan, IanGoodfellow, and Rob Fergus. Intriguing properties of neural networks. In ICLR,2013.
[2] TomB Brown, Dandelion Mane, Aurko Roy, Mart ´ ´ın Abadi, and Justin Gilmer.Adversarial patch. In NIPS Workshop, 2017
[3] IvanEvtimov, Kevin Eykholt, Earlence Fernandes, Tadayoshi Kohno, Bo Li, AtulPrakash, Amir Rahmati, and Dawn Song. Robust physical-world attacks on deeplearning models. In CVPR, 2018.
https://www.toutiao.com/i6822589138202526221/