Du point à la surface : attaques contradictoires multiples généralisables, depuis les attaques contradictoires individuelles jusqu'aux attaques contradictoires multiples

Le système de reconnaissance faciale qui prétend être précis à 99 % est-il vraiment incassable ? En fait, le système de reconnaissance faciale peut être facilement brisé en apportant des modifications aux photos du visage qui n'affectent pas le jugement visuel. Par exemple, la fille d'à côté et la célébrité masculine peuvent être considérées comme étant la même personne. attaque. Le but des attaques contradictoires est de trouver des échantillons contradictoires qui sont naturels et peuvent confondre le réseau neuronal. Essentiellement, trouver des échantillons contradictoires consiste à trouver les vulnérabilités du réseau neuronal.

Récemment, une équipe de recherche de l'Eastern Institute of Technology a proposé un paradigme d'attaque adverse multiple généralisée (GMAA),

promouvant le mode d'attaque "point" traditionnel vers un mode d'attaque "de surface" améliore considérablement la capacité de généralisation du modèle d’attaque contradictoire et ouvre une nouvelle idée pour le travail des attaques contradictoires.

Cette recherche améliore les travaux antérieurs du domaine cible et du domaine contradictoire. Sur le domaine cible, cette étude trouve des exemples contradictoires plus puissants avec une forte généralisation en attaquant l'ensemble des états de l'identité cible. Pour le domaine contradictoire, des travaux antérieurs ont cherché des échantillons contradictoires discrets, c'est-à-dire trouver plusieurs « vulnérabilités » (points) du système, tandis que cette recherche a cherché des variétés contradictoires continues, c'est-à-dire, pour trouver la partie intégrante fragile du système. le réseau neuronal. Pièce "zone" (visage). De plus, cette étude introduit la connaissance du domaine de l'édition d'expressions et propose un nouveau paradigme basé sur l'instanciation de l'espace d'état d'expression. En échantillonnant en continu la variété contradictoire générée, nous pouvons obtenir des échantillons contradictoires hautement généralisables avec des changements d'expression continus. Comparé à des méthodes telles que le maquillage, l'éclairage et l'ajout de perturbations, l'espace d'état d'expression

est plus universel et naturel et n'est pas affecté par. genre ou éclairage. Le document de recherche a été accepté par le CVPR 2023.

Lien papier : https://arxiv.org/abs/2301.06083

Lien code https://github.com/tokaka22/GMAAIntroduction à la méthode

Dans la partie domaine cible, des travaux antérieurs ont consisté à concevoir des échantillons contradictoires pour une photo spécifique de l'identité cible A. Cependant, comme le montre la figure 2, lorsque l'échantillon contradictoire généré par cette méthode d'attaque est utilisé pour attaquer une autre photo de A, l'effet d'attaque sera considérablement réduit. Face à de telles attaques, changer régulièrement les photos de la base de reconnaissance faciale constitue naturellement une mesure de défense efficace. Cependant, le GMAA proposé dans cette étude s'entraîne non seulement sur un seul échantillon de l'identité cible, mais recherche également des échantillons contradictoires capables d'attaquer l'ensemble des états d'identité cible. De tels échantillons contradictoires hautement généralisés sont confrontés à la bibliothèque de reconnaissance faciale mise à jour. performance.

Ces échantillons contradictoires plus puissants correspondent également aux zones les plus faibles du réseau neuronal et méritent une exploration approfondie. Dans le domaine contradictoire, des travaux antérieurs ont consisté à rechercher un ou plusieurs échantillons contradictoires discrets, ce qui équivaut à trouver un ou plusieurs "points" où le réseau neuronal est vulnérable dans un espace de grande dimension, et cette étude estime que , le réseau neuronal peut être fragile sur l'ensemble du « visage », et les échantillons contradictoires sur ce « visage » doivent être « capturés d'un seul coup ». Par conséquent, cette recherche est consacrée à la recherche de variétés contradictoires dans un espace de grande dimension.

Pour résumer, GMAA est un nouveau paradigme d'attaque qui utilise

des variétés adverses pour attaquer l'ensemble d'états

de l'identité cible. L'idée centrale de l'article est présentée dans la figure 1.

Plus précisément, cette recherche introduit la connaissance du domaine de l'édition d'expressions, du système de codage d'action faciale (FACS), et utilise l'espace d'état d'expression pour instancier le nouveau paradigme d'attaque proposé. FACS est un système de codage d'expression faciale qui divise le visage en différentes unités musculaires. Chaque élément du vecteur AU correspond à une unité musculaire. La taille de la valeur de l'élément vectoriel représente le degré d'activité musculaire de l'unité correspondante, codant ainsi l'état d'expression. . Par exemple, dans la figure ci-dessous, le premier élément AU1 du vecteur AU représente le degré de levée du sourcil interne.

De "Anatomie des expressions faciales"

Pour le domaine cible, cette recherche attaque des ensembles de cibles contenant plusieurs états d'expression, obtenant ainsi de meilleures attaques sur des photos cibles inconnues. Performances pour l'adversaire ; domaine, cette étude établit une variété contradictoire qui correspond à l'espace AU un à un. Vous pouvez modifier la valeur AU, échantillonner des échantillons contradictoires sur la variété contradictoire et modifier continuellement la valeur AU pour générer des exemples contradictoires en constante évolution. ​

Il convient de noter que cette recherche utilise l'espace d'état d'expression pour instancier le paradigme d'attaque GMAA. En effet, les expressions sont l'état le plus courant dans les activités faciales humaines et l'espace d'état d'expression est relativement stable et ne sera pas affecté par la race ou le sexe (la lumière peut changer la couleur de la peau et le maquillage peut affecter le sexe). En fait, tant que d’autres espaces d’états appropriés peuvent être trouvés, ce paradigme d’attaque peut être généralisé et appliqué à d’autres tâches d’attaque contradictoires dans la nature. Résultats du modèle

L'animation ci-dessous montre les résultats visuels de l'étude. Chaque image de l'animation est un échantillon contradictoire échantillonné sur le collecteur contradictoire. En échantillonnage continu, une série d'échantillons contradictoires (côté gauche) avec des expressions en constante évolution peut être obtenue. . (À droite) Similitude sous le système de reconnaissance faciale Face++.

Dans le tableau 1, l'étude répertorie les taux de réussite des attaques par boîte noire de 4 modèles de reconnaissance faciale sur deux ensembles de données. Parmi eux, MAA est une version abrégée de GMAA et MAA n'utilise que des attaques ponctuelles dans le domaine accusatoire. Le modèle est étendu à de multiples attaques, et le domaine cible est toujours attaqué sur une seule photo cible. L'ensemble d'états de la cible d'attaque est un paramètre expérimental courant. L'article ajoute ce paramètre aux trois méthodes incluant MAA dans le tableau 2 (la partie en gras dans le tableau est le résultat de l'ajout de ce paramètre, dans le tableau 2 (A « G »). est ajouté au nom de la méthode pour la distinguer), ce qui prouve que l'expansion du domaine cible peut améliorer la généralisation des échantillons contradictoires.

La figure 4 montre les résultats de l'attaque des API de deux systèmes commerciaux de reconnaissance faciale.

Cette étude a également exploré l'impact de différentes expressions sur les performances de l'attaque, et l'impact du nombre d'échantillons contenus dans l'ensemble d'états sur les performances de généralisation des attaques.

La figure 6 montre la comparaison des résultats de visualisation de différentes méthodes. MAA a échantillonné 20 échantillons contradictoires sur le collecteur contradictoire, et vous pouvez voir que l'effet de visualisation est plus naturel.

Bien sûr, tous les ensembles de données ne contiennent pas d'images de différents états d'une identité. Comment étendre le domaine cible dans ce cas ? Cette recherche fournit également une solution réalisable, qui consiste à utiliser des vecteurs AU et des modèles d'édition d'expression pour générer des ensembles d'états cibles. L'article présente également les résultats de l'attaque de l'ensemble d'états cibles synthétisés, et on peut constater que les performances de généralisation ont également été. amélioré.

Méthode de principe

L'épine dorsale du modèle comprend un module de génération basé sur WGAN-GP, un module de supervision d'expression, un module d'amélioration de la transférabilité et un module d'attaque généralisée. Parmi eux, le module d'attaque généralisée implémente la fonction d'attaque des ensembles d'états cibles, et le module d'amélioration de la transférabilité provient de travaux antérieurs. Pour une comparaison équitable, ce module est ajouté à toutes les lignes de base. Le module de supervision d'expression est composé de 4 éditeurs d'expression bien formés et réalise la transformation d'expression d'échantillons contradictoires grâce à la supervision de la structure globale et à la supervision des détails locaux.

Pour le module de supervision d'expression, les expériences d'ablation correspondantes sont données dans les supports de l'article, qui vérifient que la supervision locale des détails peut réduire les artefacts et le flou des images générées, améliorer efficacement la qualité visuelle des échantillons contradictoires , et en même temps, il peut améliorer la précision de la synthèse d'expression des échantillons contradictoires.

De plus, l'article définit les concepts de variétés contradictoires continues et de variétés contradictoires continues sémantiques, et prouve en détail que la variété contradictoire générée par est homéomorphe à l'espace vectoriel AU.

Résumé

En résumé, cette recherche propose un nouveau paradigme d'attaque appelé GMAA, tandis que étend le domaine cible et le domaine de contre-mesure, améliorant les performances d'attaque. Pour le domaine cible, GMAA améliore la capacité de généralisation à l'identité cible en attaquant un ensemble d'états au lieu d'une seule image. De plus, GMAA étend le domaine contradictoire de points discrets à des variétés contradictoires sémantiquement continues (« point à surface ») . Cette étude instancie le paradigme d'attaque GMAA en introduisant la connaissance du domaine de l'édition d'expression. De nombreuses expériences comparatives prouvent que le GMAA a de meilleures performances d'attaque et une qualité visuelle plus naturelle que les autres modèles concurrents.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!