【论文阅读】Research on video adversarial attack with long living cycle

news2024/11/25 12:45:17

论文链接:添加链接描述

Method

在这里插入图片描述

OPTIMIZATION PROBLEM DESCRIPTION

X X X是浮点数域中的对抗视频示例, X c X_c Xc表示encoded的视频对抗示例。设 E = X ˆ − X E = Xˆ−X E=XˆX表示在对抗中增加的扰动, E c = X c − X E_c = Xc − X Ec=XcX表示视频压缩编码损失。
our optimization question can be presented as Eq.1:
在这里插入图片描述
y t r u t h y_{truth} ytruth是样本 X X X的真实标签, y s e l e c t y_{select} yselect是可选标签,我们发现如果我们选择a target label作为优化目标标签,优化函数可以更快地收敛。但这不是目标攻击,因为我们只是使用所选择的标签来加速优化函数的收敛。标签的选择可以是随机的。我们稍后将介绍我们的目标攻击。在我们的实验中,我们选择the label with the second-highest confidence score。 f ( ) f() f() 是受害者视频识别模型。

ROUNDING LOSS

对于大多数视频识别DNN模型,在训练过程中,它们将视频样本从整数域归一化到浮点数域。这样,模型可以快速收敛。因此,以往的对抗性实例生成方法也是在浮点数空间中生成对抗性实例。
在我们的实验中,我们发现如果我们想保存我们的对抗图像,归一化引起的舍入损失(rounding loss)是不能忽略的。
To avoid this, in this paper, we add our perturbation in the original integer space,
X ˆ = X + P ∈ [ 0 , 255 ] Xˆ= X +P ∈ [0, 255] Xˆ=X+P[0,255]. In this way, we can easily control the scale of perturbation and retain all the perturbation.

视频压缩编码

视频压缩编码的过程可以描述如下: X c = D C T ( X ) Q X_c=DCT(X)Q Xc=DCT(X)Q函数DCT()表示离散余弦变换,并且将视频帧从空间域spatial domain转换到频域frequency domain。此步骤不会造成损失。
Q表示压缩步骤的量化矩阵。编码过程中的无损步骤将不会在我们的算法中显示。接下来,我们将用一个简单的例子来解释为什么量化步骤会带来损失:如果存在四个不同的像素33、34、35、36,经过量化除法后,就变成了1,1,1,1。逆量化后,这四个值将变得相同,都是32。这就造成了信息的极大损失,表现在图像中的是色彩空间的缩小和细节的缺乏。当需要对编码后的视频进行帧提取时,过程可以表示为:
X ′ = I D C T ( X c Q − 1 ) X'=IDCT(X_cQ^{-1}) X=IDCT(XcQ1)其中IDCT表示逆DCT,在此过程中,输出数据X与X不同,存在差值Ec。

ADVERSARIAL ATTACK

根据上述条件,我们可以构造我们的非目标攻击优化损失函数:
在这里插入图片描述

EXPERIMENT AND ANALYSIS

我们将分析我们的实验方法和实验结果,并将它们与先前的白盒攻击对抗性示例生成方法进行比较。
度量:参考[1]的稀疏攻击论文,我们使用四个度量来评估各个方面。
编码前的傻瓜比率(F):被定义为成功误分类的未编码对抗视频的百分比
可感知性(P):扰动的平均尺度。本文采用L∞ 范数来度量视觉隐藏。
L2范数:表示添加的扰动的L2范数。虽然我们使用了最大扰动幅值,但是当最大扰动幅值相同时,L2范数可以很好地表示附加扰动的程度。当计算L2范数时,我们使用归一化处理;也就是说,无论原始扰动是添加在整数RGB空间还是添加在[0,1]之间的浮点数空间中,我们都将其缩放到0和1之间以用于计算。
攻击成功率(ASR):编码视频的最终攻击成功率,并且该度量可以表示对抗样本的最终攻击能力。
Resistance (R):它代表了抵抗视频编码损坏的能力。例如,有M个未编码的对抗性例子可以成功地攻击模型。视频编码后,只有 M ∗ ( M ∗ ≤ M ) M^*(M^* ≤ M) M(MM) 个视频仍能攻击成功,且预测标签与编码前的预测标签相同,则 R = M ∗ / M R = M^*/M R=M/M

untargeted attack

the attack effect of the untargeted attack adversarial examples before video compression encoding:
在这里插入图片描述
the attack effects of different algorithms after video compression encoding and the robustness against video compression encoding:
在这里插入图片描述

可见,该方法具有较好的抗视频编码性能。其他基于迭代的方法:如PGD和sparse attack,虽然在未编码的对抗性例子上可以取得很高的攻击成功率,但在编码视频面前却不能保持良好的性能。

在非目标攻击中, 视频压缩编码后,上述方法仍能保持较高的攻击成功率。然而,这并不意味着它们有很高的抵抗力。在我们的实验中,我们发现视频编码之后的预测标签不同于视频编码之前的预测标签。例如,真值标签是1,而在视频编码之前的敌对示例的预测标签是2,但是在视频编码之后,敌对示例的预测标签可能是3或4。虽然我们可以使用这个编码的例子来攻击成功,但对抗性例子的健壮性已经被破坏了。视频编码的过程会给视频添加不可预测的噪声。
因此,视频样本的预测的标签将偏离到未知的地方。在讨论目标攻击时,将进一步论证和讨论这一现象。

此外,该方法可以使用较小的扰动来获得最高的成功率。我们认为这就是把扰动放在整数空间中的优点。当我们将扰动置于整数空间中时,归一化后的数据将更像正态样本,并与干净样本具有相同的分布。 如果扰动被放置在浮点数空间中,则每次更新的幅度对于我们来说难以控制。在造成舍入损失的同时,分布与原始样本不同并且也难以控制。在攻击幅度的控制上,难度会更大。

需要注意的是,在实验中,我们的方法在不同的视频编码方式下会改变扰动幅度,而其他方法不会改变。这是因为,在我们的对抗示例生成方法中,我们考虑了视频编码。因此,不同的视频编码方法会带来不同的攻击性能。The previous methods did not take this into consideration, only the video coding test was added in the final link, so there will be no change.

targeted attack

在编码前,两种方法的攻击效果都比较好,攻击幅度也差不多。这是非常合理的,因为有针对性的攻击的难度明显大于无针对性的攻击。为了达到更好的攻击效果,攻击扰动的幅度会比无目标攻击略大,但仍保持在相对较小的水平。我们的方法具有稍微高的攻击成功率。

经过视频压缩编码后,稀疏攻击的攻击成功率大大降低,我们的方法具有很好的抗编码效果,编码后的攻击性能几乎没有下降。
在这里插入图片描述

对比表2和表4可以发现,视频压缩编码后,目标攻击的性能下降更为明显。我们认为这是因为目标攻击比无目标攻击更难。为了使对抗样本最终分类到我们选择的标签中,所需的扰动会更加精细。 值得一提的是,在无目标攻击中,我们选取了原始输出中分类置信度次高的标签作为优化目标,这也在一定程度上降低了无目标攻击的难度。当所需扰动越细时,视频压缩编码对附加扰动的破坏越大。
任何细微的变化都可能影响最终的攻击效果。在无目标攻击中,由于选择了置信度次高的标签作为优化目标,使得攻击变得更加容易。抵抗视频压缩编码的能力也将变得更强。这是因为原始模型对该样本的判断非常接近所选标签,并且附加视频压缩编码的影响可以在很大程度上忽略。

Visual concealment:

在这里插入图片描述

For the visual effect, we will convert the perturbation in the floating-point number space to RGB space, and all perturbations less than 0 are displayed with their absolute value. And the final line is the difference between a non-coded image and a coded image, and we also converted it to RGB space for better visual. Since the added perturbation is too small, we must expand each perturbation by five times to improve its visual effect, and we gray it out to get a more obvious contrast effect. We also expand the difference image between the coded frame and non-coded frame by five times.

从图中可以清楚地看到,我们的方法生成的对抗性例子在空间的稀疏性和对抗性扰动的幅度方面都上级以前的方法。值得注意的是,视频编码前后,图像数据发生了明显的变化和差异,
this difference is the cause of the attack ability loss of the adversarial sample.。但在我们的对抗性例子中,这种现象并没有发生。这是因为我们的对抗示例在生成过程中优化了这种编码损失,最小化了编码前后的差异,并提高了对抗示例的鲁棒性。

Multimedia transmission experiment

本节将展示网络多媒体传输情况下 the life cycle problem of adversarial video examples。当一段视频在互联网上传播时,比如上传到YouTube、Tiktok等视频网站,或者通过WeChat、Facebook等社交软件分享,这些网站和软件会对视频进行压缩编码,可以降低带宽需求。
在这里插入图片描述

conclusion

探讨了视频压缩编码对视频对抗实例的影响,提出了一种方法generating video adversarial examples that can resist attack ability against video compression encoding。该算法是一种基于优化的方法,以added perturbation、class loss,
and loss caused by video compression encoding引起的loss为优化目标。在UCF101数据集上的一系列实验表明,视频对抗样本易受视频压缩编码的攻击,该方法在视觉隐蔽性、攻击成功率、抗视频编码能力等方面均优先于已有的工作。未来,我们将在两个方面进行探索。首先,利用视频压缩编码的特点来检测和防御视频对抗性实例。第二,我们可以综合各种视频压缩编码方法的特点,设计一种通用的视频对抗实例生成方法。

[1]Sparse adversarial perturbations for videos. AAAI 2019

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/383631.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【线性筛+DP】最大和

看错题了,呃呃,其实就是个简单DP最大和 - 蓝桥云课 (lanqiao.cn)题意:思路:设dp[i]为以1为终点的最大和,然后枚举状态和决策就行了主要是线性筛的应用,它可以预处理出一个数的最小质因子是多少Code&#xf…

如何用BurpSuite抓取手机数据包

文章目录前言准备工具Burp Suite物理机或虚拟机(移动设备)手机抓包网络环境开启burp并设置代理手机配置代理安装Burp证书开始抓包踩坑后记前言 最近挖了一波src,挖来挖去发现有很多公众号或者app没有测试,这就需要Burp能够抓取手机的数据包了&#xff0…

九州云出席全球人工智能开发者先锋大会,圆桌论道开源未来

2月25日-26日,2023年全球人工智能开发者先锋大会(GAIDC)在临港成功召开。本届盛会以“向光而行的开发者”为主题,汇集政府职能部门领导、国内外知名专家学者、具有国际影响力的开源创业者,聚焦前瞻探索、开源开放、人才…

Linux gcc/g++编译链接头文件和库(动态库.so 和 静态库.a)

最近在学习log4cpp库时,使用g去编译,却发现自己不会链接...,这哪能行,于是网上钻研,终于解决,现在记录下来分享给遇到同样问题的人。 gcc和g类似,这里就以g为例! 刚好用到的log4cpp…

测开:vue入门(1)

目录 一、背景 二、介绍 三、创建项目 3.1 创建vue项目 方式二:直接在html页面中,引入vue 3.2 直接在html页面中,引入vue 3.2.1 引入在线的vue(方式一) 3.2.2 将vue 下载到本地(方式二) …

代码随想录算法训练营第二天| 977. 有序数组的平方、209. 长度最小子数组、59.螺旋矩阵II

977 有序数组的平方题目链接:977 有序数组的平方介绍给你一个按 非递减顺序 排序的整数数组 nums,返回 每个数字的平方 组成的新数组,要求也按 非递减顺序 排序。思路看到题目的第一反应,首先负数的平方跟正数的平方是相同的&…

Git系列:常见指令辨析

Git系列:常见指令辨析指令辨析工作区、暂存区、版本库傻傻分不清楚?主干和分支的关系是什么?git fetch/merge/pull辨析日志查看时,git log与git reflog的区别是?git diff和status的区别是?相关资料本文小结…

麒麟系统安全管理工具kysec机制详解

DAC访问控制 Linux下有多种权限控制的机制,常见的有:DAC(Discretionary Access Control)自主式权限控制和MAC(Mandatory Access Control)强制访问控制。 Linux上传统的访问控制标准是自主访问控制Discretionary Access Control(DAC)。在这种形式下,一个软件或守护进程以…

【MyBatis】源码学习 05 - 关于 xml 文件解析的分析

文章目录前言参考目录学习笔记1、章节目录概览2、14.3:SqlSourceBuilder 类与 StaticSqlSource 类3、14.4.2:ResultMapResolver 类3.1、测试代码说明3.2、结果集 userMap 解析流程3.3、结果集 getGirl 解析流程3.4、鉴别器 discriminator 解析流程4、14.…

汽车电子CAN协议上位机软件的设计实现

先不说汽车电子,通常上位机软件如何实现呢?作为控制嵌入式设备的PC端软件,主要功能就是配置和读取嵌入式设备基于特定接口的交互信息,所以首先需要控制一个通讯设备作为中间的通讯媒介。比如sscom5.13.1就可以作为上位机软件工具,它需要一个具有usb转UART通讯的接口设备或…

C#中,Elasticsearch.Net判断空字符串

之前有个业务需求,由于最开始存储到es里的,是默认空字符串,后面程序取数据时,发现需要取空字符串的数据时,不好取出来。 字符串的字段如图: 实际数据如图: 用的是C#语言,使用的是E…

【算法笔记】递归与回溯

递归与回溯 To Iterate is Human, to Recurse, Divine. —L. Peter Deutsch 人理解迭代,神理解递归。 —L. Peter Deutsch 1.什么是递归呢 递归形象描述: 你打开面前这扇门,看到屋里面还有一扇门。 你走过去,发现手中的钥匙还可以…

【Spark分布式内存计算框架——Spark Streaming】11. 应用案例:百度搜索风云榜(下)实时窗口统计

5.5 实时窗口统计 SparkStreaming中提供一些列窗口函数,方便对窗口数据进行分析,文档: http://spark.apache.org/docs/2.4.5/streaming-programming-guide.html#window-operations 在实际项目中,很多时候需求:每隔一…

数智未来,AI赋能——第四届OpenI/O 启智开发者大会昇腾人工智能应用专场圆满举行!

为提升启智社区与鹏城实验室在人工智能开源领域的影响力,促进社区成员与开源生态圈伙伴的合作。2月25日上午,第四届OpenI/O 启智开发者大会昇腾人工智能应用专场分论坛在深圳人才研修院举办,进一步促进与发挥企业间资源共通的优势&#xff0c…

【ROS2知识】关于colcon编译和ament指定

一、说明 这里说说编译和包生成的操作要点,以python包为例。对于初学者来说,colcon和ament需要概念上搞清楚,与此同时,工作空间、包、节点在一个工程中需要熟练掌握。本文以humble版的ROS2,进行python编程的实现。 二、…

【408之计算机组成原理】计算机系统概述

目录前言一、计算机的发展历程1. 计算机发展的四代变化2. 计算机元件的更新换代3. 计算机软件的发展二、计算机系统层次结构1. 计算机系统的组成2. 冯诺依曼体系结构3. 计算机的功能部件1. 输入设备2. 输出设备3. 存储器4. 运算器5. 控制器三、 分析计算机各个部件在执行代码中…

【算法】阿里面试题-编码实现20亿个整数,找出某个数X是否存在其中

1.海量数据去重-BitMap位图解决方案 需求(面试题) 一个32位4G内存的操作系统,在20亿个整数,找出某个数X是否存在其中 假如是java语言,int占4字节,1字节8位(1 byte 8 bit) 方式一&…

Mockito 入门

目录1.什么是 Mock 测试?2.Mockito简介3.在 SpringBoot 单元测试中使用 Mockito3.1 Maven依赖:3.2 UserService.java3.3 User.java3.4 thenReturn系列方法(测试桩)3.5 thenThrow系列方法3.6 verify 系列方法4.Spring中mock任何容器…

计算机组成原理-动态链接库-笔记

Linux 下的 ELF 文件格式 Windows 的可执行文件格式是一种叫作PE(Portable Executable Format)的文件格式 动态链接库 这些机器码必须是“地址无关”的。也就是说,我们编译出来的共享库文件的指令代码,是地址无关码(…

10个可以实现高效工作与在线赚钱的 AI 工具网站

自 2020 年以来,内容开发领域已经感受到人工智能工具的存在。 目前,营销人员和内容创作者正在利用这些工具来加快他们的工作流程。 如果您拥有最流行的 AI 工具之一,例如 CopyAI、Jasper AI 或 Content at Scale,您可能正在考虑…