IJCAI(国际人工智能联合会议)是人工智能领域中的顶级综合性会议,IJCAI2019 将于 8 月 10 日至 8 月 16 日在中国澳门举办,本次会议投稿量有 4752 篇,接收率为 17.88%。本文对 3 篇神经网络安全相关论文进行了介绍。
近年来,深度学习在计算机视觉任务中获得了巨大成功,但与此同时,神经网络的安全问题逐渐引起重视,对抗样本热度持续不下,神经网络后门攻击也悄然兴起。本文选取了 IJCAI2019 的 3 篇论文,从目标检测对抗攻击、实时对抗攻击、神经网络后门攻击三个方面,为大家梳理最新进展。
论文 1:Transferable Adversarial Attacks for Image and Video Object Detection
论文 2:Real-Time Adversarial Attacks
论文 3:DeepInspect: A Black-box Trojan Detection and Mitigation Framework for Deep Neural Networks
论文 1:Transferable Adversarial Attacks for Image and Video Object Detection
链接:https://arxiv.org/abs/1811.12641
论文速览:
目标检测是深度学习大显身手的领域。目前,主流的图像目标检测模型可大致分为两类:基于 proposal 的模型和基于回归的模型。前者通常包含 R-CNN,Faster-RCNN,Mask-RCNN 等,这些方法使用两阶段检测步骤,首先检测 proposal 区域,然后对它们进行分类以输出最终检测到的结果。基于回归的经典模型有 YOLO 和 SSD,它们将目标检测任务视为回归过程,并直接预测边界框的坐标。与图像场景相比,图像目标检测视频目标检测将相邻帧之间的时间交互结合到目标检测过程中,通常在选定的关键帧上应用现有的图像目标检测器,然后通过时间交互传播边界框。因此,图像目标检测是视频目标检测的基础。
目前针对图像目标检测的对抗攻击方法较少,已有的方法具有两大弱点:1. 迁移性较弱:在一种目标检测方法上攻击效果好,但在另一种方法上成功率较低。2. 计算成本较高:针对视频数据处理,耗时较长。本文提出了一种开创性方法 UEA(Unified and Efficient Adversary),*可高效生成图像和视频目标检测对抗样本,并且对基于 proposal 的和基于回归的两大类目标检测器同时有效*。作者提出了一种多尺度的 attention 特征损失,以增强 UEA 的黑盒攻击能力。与首个且此前最先进的针对图像目标检测的对抗攻击方法 DAG(Dense Adversary Generation)相比,UEA 所需的运算时间约是它的千分之一。
图 1.1 DAG 和 UEA 目标检测对抗攻击效果示例
第一行为原始图像及其目标检测结果;第二行和第三行分别为 DAG 方法和 UEA 方法添加扰动后的对抗图片在两种目标检测方法上的效果;其中 DAG 扰动后使得 Faster R-CNN 未检测出图中目标,但是对 SSD 无影响;而 UEA 扰动后在 Faster R-CNN 上未检测出目标,同时在 SSD 上检测到的目标 car 被识别为 sofa
Tips:2017 年 Xie 等人提出的 DAG 对抗攻击方法以 Faster R-CNN 为攻击模型,首先为每个 proposal 分配一个对抗标签,然后执行迭代梯度反向传播以对 proposal 进行错误分类。由于 DAG 通过操纵类标签来实现对抗样本,专门用于对 proposal 进行错误分类,这意味着 DAG 的可迁移性很差,无法在基于回归的检测器上很好地工作。另外,DAG 是一种优化方法,每个图像需要 150 到 200 次迭代才能完成对抗扰动,高计算成本使 DAG 无法应用于攻击视频目标检测系统,因为视频攻击所需的运算量要高得多。
方法解读:
图 1.2 UEA 的训练框架图
U(Unified):「统一」表示可以同时攻击当前的两种代表性目标检测模型。由于基于 proposal 和回归的目标检测器都使用特征网络作为后端,如 Faster-RCNN 和 SSD 都使用 VGG16,如果对从后端特征网络中提取的特征进行攻击,则两种类型的目标检测器都将受到影响。作者将该想法以多尺度特征损失来实现,从多个层中攻击特征图。从 DNN 的深度来看,DAG 的类损失应用于高级 softmax 层,attention 特征损失用于低级后端层。作者在 GAN 框架内同时集成了低级特征损失和高级类损失,以共同提高可迁移性。