- 简介本文介绍了深度神经网络(DNN)在计算机视觉领域中的革命性应用,如目标检测,但同时也存在易受到对抗攻击的漏洞。在物理世界中,攻击者可以利用对抗性贴片实现隐藏攻击(HA),将目标物体遮盖以使其从检测器中消失,也可以实现出现攻击(AA),欺骗检测器将贴片误识别为某个特定物体。近年来,许多检测器的防御方法已被提出以减轻对抗性贴片的潜在威胁,但这些方法仍然存在泛化、鲁棒性和效率等方面的限制。大多数防御方法只对HA有效,而对AA仍然无法防御。本文提出了一种创新的模型——NutNet,用于检测对抗性贴片,具有高度的泛化、鲁棒性和效率。通过对包括YOLOv2-v4、SSD、Faster RCNN和DETR在内的六个检测器在数字和物理领域的实验,结果表明我们提出的方法可以有效地防御HA和AA,仅牺牲0.4\%的清洁性能。我们将NutNet与四种检测器基线防御方法进行比较,结果表明我们的方法在HA和AA方面的平均防御性能分别是现有方法的2.4倍和4.7倍以上。此外,NutNet仅增加了8\%的推理时间,可以满足检测系统的实时要求。NutNet的演示可在以下网址中获得:\url{https://sites.google.com/view/nutnet}。
- 图表
- 解决问题本论文旨在解决深度神经网络在物理世界中容易受到对抗性攻击的问题,提出一种名为NutNet的模型来检测对抗性贴片,同时具有高通用性、鲁棒性和效率。
- 关键思路NutNet模型通过对检测器进行微调,引入对抗性贴片检测任务,从而提高对抗性攻击的鲁棒性。同时,NutNet采用了一种新的对抗性样本生成方法来增加对抗性贴片的多样性。
- 其它亮点实验结果表明,NutNet模型不仅能够有效抵御隐藏攻击,而且对出现攻击也有很好的防御效果。相比于其他四种基线防御方法,NutNet的防御性能平均提高了2.4倍和4.7倍,而且只增加了8%的推理时间。此外,NutNet的代码和演示都已经公开。
- 近年来,许多针对对抗性攻击的防御方法被提出,如对抗性训练、对抗性样本检测等。其中一些方法只能有效防御隐藏攻击,而对出现攻击无能为力。相关论文有:Adversarial Examples Detection in Deep Networks with Convolutional Filter Statistics、Detecting Adversarial Examples via Neural Fingerprinting等。
沙发等你来抢
去评论
评论
沙发等你来抢