基于上下文不一致性的多专家对抗性攻击检测方法的研究

15097基于上下文不一致性的王雪平1，2，李莎莎3，刘敏*1，2，王耀南1，2和Amit K.湖南大学电气与信息工程学院2机器人视觉感知与控制技术国家工程实验室3加州大学河滨分校摘要深度神经网络（DNN）的成功促进了人的再识别（ReID）的广泛应用。然而，ReID系统继承了DNN对视觉上不显眼的对抗性扰动的恶意攻击的脆弱性。因此，检测在这项工作中，我们提出了一种多专家对抗性攻击检测（MEAAD）方法，通过检查上下文不一致来实现这一目标，该方法适用于任何基于DNN的ReID系统。具体地，采用由对抗性攻击引起的三种上下文不一致来学习用于区分扰动示例的检测器，即，a）扰动查询人图像与其前K个检索之间的嵌入距离通常大于良性查询图像与其前K个检索之间的嵌入距离，b）扰动查询图像的前K个检索之间的嵌入距离大于良性查询图像的嵌入距离，c）利用多个查询人图像获得的良性查询图像的前K个检索之间的嵌入距离大于良性查询图像的嵌入距离。三个专家ReID模型往往是一致的 ，这 在存 在 攻击 时不 会保 留 。在 Market 1501 和DukeMTMC-ReID数据集上的大量实验表明，作为ReID的第一种对抗性攻击检测方法，MEAAD有效地检测了各种对抗性攻击，并获得了较高的ROC-AUC（超过97.5%）。1. 介绍DNN的成功已经使广泛的计算机视觉任务受益，例如图像分类[13，16]，对象检测[12，36]，面部识别[34，20]，视频分类[13，16]，图像分类[13，17]，图像分类[13，18]，图像分类[13，19]，图像分类[13，[21，47]和人ReID [50，23，14，50，33]。* 通讯作者：liu_min@ hnu. edu. cn。X. 王先生于2019- 2020年在UCR访问学生人员ReID是旨在跨多个非重叠相机检索行人的关键任务。近年来，基于DNNs的ReID模型通过学习区分性特征嵌入和自适应距离度量模型，在视频监控或公共安全犯罪识别中得到了广泛的应用然而，最近的研究发现，这些模型继承了DNN对对抗性示例的脆弱性[42，45，2，8]，这些示例是轻微扰动的输入图像，但导致DNN做出错误的预测[11，39]。因此，检测不利示例是鲁棒ReID系统的基本要求，因为ReID系统的不安全性可能导致严重的损失。然而，ReID被定义为排名问题而不是分类问题，因此现有的图像分类防御方法[6，18，30，26，28，41]不适合人ReID问题。此外，与分类任务中的预测标签相比，Person ReID系统输出的前K个检索包含更丰富的信息，并且可以潜在地用于检测对抗性攻击。为了说明，让我们考虑在图1中的对抗攻击之前和之后使用查询样本的五个不同的最先进的人ReID系统（LSRO[53]、AlignedReID[48]、PCB[38]、HACNN[23]和Mudeep[33]）获得的前10个检索。第1（a）段。当考虑单个ReID系统返回的检索时，例如LSRO，它们在攻击前比攻击后在视觉上更类似于查询图像，并且它们在攻击前在视觉上彼此更相似。当考虑由不同专家模型返回的检索 我们做了一个实证研究，如图所示。 1（b），发现嵌入距离能够反映视觉相似性;具体地，良性查询的检索倾向于在嵌入空间中聚集在一起，而扰动查询的检索倾向于扩散。受这些观察的启发，我们提出了多专家15098（b）第（1）款图1.（a）示出了在对抗性攻击之前和之后查询样本的前10个检索五种最先进的个人ReID模型，即LSRO [53]，AlignedReID[48]，PCB [38]，HACNN [23]和Mudeep [33]用作专家模型。深度误排序攻击[42]用于生成对抗性扰动，AlignedReID是攻击目标模型。良性查询（攻击前）的前10个检索在多个专家模型中是一致的，而对于扰动查询样本（攻击后），它们是混乱的。(b)呈现（使用PCA）专家模型（AlignedReID）的嵌入空间。原始查询样本用红星标记，其检索结果用红色加号标记。被扰动的查询样本用蓝色星号标记，并且其检索用蓝色加号标记。我们观察到，良性查询样本的检索紧密聚集在嵌入空间中的良性查询样本周围。相比之下，扰动查询样本的检索分布在空间上我们在图中有定量和更详细的结果二、对抗攻击检测，通过检测上下文不一致性来检测针对个人ReID系统的对抗攻击。据我们所知，这是第一个检测针对个人ReID系统的对抗性攻击的策略。为了利用不同ReID模型的异构性，我们使用具有不同体系结构的多个ReID网络作为MEAAD中的专家模型。我们将支持集定义为单个专家模型输出的top-K检索结果.MEAAD中使用的上下文说明了三种类型的关系：1）查询与其由单个专家返回的支持样本之间的关系（查询-支持亲和性）; 2）由单个专家返回的支持样本之间的关系（支持-支持亲和性）; 3）由一个专家返回的支持样本与由另一个专家返回的支持样本之间的关系（跨专家亲和性）。然后，我们用良性和扰动查询样本的上下文特征训练检测器，并在测试期间使用它来检测贡献如下，• 据我们所知，这是第一个用于防御ReID系统的对抗性攻击检测策略• 我们实证研究了对抗性攻击带来的副作用，即，检索 结果 中的 上下 文 不一 致。 然后 ， 我们 提出 了MEAAD，其目的是通过检查要检测的查询样本的上下文不一致性来检测对抗性攻击。• 在Market 1501和DukeMTMC-ReID数据集上的大量实验表明，MEAAD有效地检测各种对抗性攻击，并实现了高ROC-AUC（在所有情况下超过97.5%）。2. 相关作品2.1. 人员重新识别人物再识别是一个跨摄像机的实例检索问题，其目的是在多个摄像机之间搜索人物多个摄像头随着深度学习的发展，person ReID在广泛使用的基准测试中取得了令人鼓舞的表现在这个领域中，基于深度学习的特征表示方法已经被广泛使用，这些方法专注于开发特征构建策略[48，23，33]。在[14，50，44]中，作者提出采用深度度量学习模型来解决人员ReID任务，其目的是设计具有不同损失函数或采样策略的训练目标近年来，使用GAN将源域图像转换为目标域风格是ReID的流行方法[7，55，54]。通过生成的图像，这使得能够在未标记的目标域中使用监督ReID模型。另一个方向是从有限的标记数据中学习ReID模型[35，43]。这些方法取得了令人印象深刻的性能。在我们的框架中，我们采用了最先进的每个-son ReID模型与不同的网络架构作为我们的专家模型和提取上下文特征，从这些专家的输出对抗性攻击检测。2.2. 对抗性攻击对抗性攻击在欺骗基于DNN的系统方面取得了显著的成功，例如，图像分类[11，19，17，27，29，32，21]和对象检测[5，49]等。已经提出了一些对抗性攻击来攻击ReID模型。Wang等人。[42]提出了一种学习错误排名公式，以扰乱ReID系统输出的排名。Ding等人。[8]提出了一种有效的方法，从全局列表的角度针对人ReID模型训练通用对抗扰动（UAP）。[3，2]提出了对抗性度量攻击来干扰ReID系统。而不是以前的数字扰动，王等人。[45]对深度ReID实施了强大的物理世界攻击，用于在衣服上生成对抗模式，从而学习图像对的变化（一）攻击前发病后LSRO对齐PCB查询HACNN穆迪普查询示例的前10次检索查询示例的前10次检索15099（支持-支持关系支持样本图2.实证研究结果：（a）绘制了良性和扰动查询样本的查询支持关系分布查询-支持度关系定义为查询样本的嵌入特征与支持样本的嵌入特征之间的余弦相似度的平均值。（b）绘制支持-支持关系分布。支持度-支持度关系被定义为同一支持集中的每个查询图像的支持样本的嵌入特征之间的余弦相似度的平均值。(c)绘制跨专家关系分布。我们使用相同数量的支持样本在所有的支持集来描述跨专家的关系。以将来自同一相机的图像特征拉得更近，同时将来自不同相机的特征推得更远。我们的防御策略依赖于上下文信息，因此并不严重依赖于产生扰动的机制。2.3. 对抗性辩护为了解决DNN对对抗攻击的脆弱性，已经提出了一些基于对抗训练的防御方法[11，18，28，41]。然而，基于对抗训练的防御方法降低了目标模型的自然性能，并且它们可以通过基于优化的攻击[4]全部或部分地规避。最近的工作集中在基于检测的防御方法上，其旨在区分敌对示例和良性示例[24，22，30，6，26]。Li等人。[22]提出了一种用于对象检测任务的基于上下文不一致性的对抗性扰动检测方法。他们通过考虑四种类型的区域关系为每个检测到的对象构建了一个完全连接的图，并为每个类别训练了一个分类器Yin等人最近提出了如何使用语言描述通过上下文不一致来检测对抗性攻击[46]。[24]应用隐写分析技术来模拟相邻像素之间的依赖性;在大多数情况下，对抗性扰动改变像素之间的相关性，因此可以通过它们的方法检测到。然而，这些方法中的大多数是针对分类任务开发的，并且它们不适合于保护人ReID模型（排名系统），因为在分类任务中，训练集和测试集共享相同的类别，而在ReID中，它们之间没有类别重叠。3. 方法3.1. 威胁模型攻击者在本页中-因此，我们假设攻击者能够通过扰乱查询图像而不是毒害图库图像来对目标ReID系统发起攻击在[42，25，8，3，52，40]中使用了相同的威胁模型，并且由于图库非常大（通常是安全的）并且攻击大量图库图像非常耗时，因此是合理的[52]。我们假设攻击目标ReID模型对攻击者来说是白盒的，因为即使在实际攻击中，它也可能是黑盒的，作品[31，9]已经表明，攻击者可以通过对查询结果进行查询和推理来估计黑盒模型的功能这一假设有利于攻击者，从而使防御系统更强大。用于一致性检查的其他专家模型从不向用户输出检索结果，因此我们认为攻击者不知道它们的存在。请注意，我们还探讨了两种自适应攻击，其中攻击者知道所有专家和我们在4.5节中的防御方案。3.2. 语境不一致性虽然对抗性示例欺骗ReID系统从图库集合中检索错误的图像，但它们具有副作用，即，导致“凌乱”的检索结果，如图所示。1.一、我们定义了三种关系来描述“凌乱”。在介绍这三种关系之前，我们将ReID系统返回的top-K检索定义为支持集，并将其中的每个检索定义为支持样本。为了简单起见，我们将良性查询样本的支持集称为良性支持集，并将扰动查询样本的支持集称为对抗支持集。实证研究使用通过深度错误排名攻击[42]获得的2，000个良性查询样本和2，000个扰动查询样本进行，并且每个查询的前15个检索被用作支持集。在实证研究中使用了两个人的ReID系统（LSRO [53]和AlignedReID [48]），我们称每个系统为专家模型。查询-支持关系。被检索到的图像在be-nign支持集往往是类似的查询图像。我们验证是否嵌入特征之间的相似性（跨专家关系公共支持样本的数量（查询-支持关系查询样本和支持样本密度密度密度15100·∗∗∗−··∗−·∗∈查询图像和支持集反映了相同的趋势，结果如图1所示。第2段（a）分段。我们将查询-支持度关系定义为查询样本的嵌入特征与支持样本的嵌入特征之间余弦相似度的平均值。我们观察到，相比良性的查询样本，扰动查询一般具有较低的相似性，其支持样本的嵌入空间。这意味着我们可以区分良性和攻击的查询支持关系。支持-支持关系。良性支持集中检索到的图像往往彼此相似。我们验证了支持样本之间的嵌入特征相似性是否反映了相同的趋势，结果如图所示。第2段（b）分段。我们将支持度-支持度关系定义为每个查询图像的支持样本的嵌入特征之间的余弦相似度的平均值。我们观察到，与良性支持样本相比，对抗性支持样本在嵌入空间中彼此具有较低的相似性。这意味着我们可以通过支持-支持关系来区分良性和攻击。跨专家关系。我们观察图。1的良性支持集返回不同的专家模型彼此重叠了很多。我们使用所有专家模型返回的公共支持样本的数量来描述跨专家关系。图2（c）示出了对于良性查询样本，不同的专家模型倾向于返回相同的检索，这意味着跨专家关系可以用于区分良性和攻击。3.3. 多专家对抗性攻击检测受上述实证研究的启发，我们提出了多专家对抗性攻击检测，如图所示3通过检查查询样本的上下文不一致性来区分扰动样本和良性样本。3.3.1上下文特征为了使问题公式化，我们使用I来表示查询图像，并使用Fi（），i=1，2，.，N来表示N个专家模型的函数。 我们将由第i个专家模型检索的支持集（前K个检索）表示为使用F（）代替Fi（）。如果我们使用Aq-s来表示当前专家模型的查询支持亲和度特征，则Aq-s是K维的向量，并且第j个元素被定义为I的嵌入特征与支持样本Sj的嵌入特征之间的余弦相似度，如等式（1）所示。1.一、Aq−s[j]=CosSimilarity（F（I），F（Sj））（1）我们计算所有专家模型的Aq−s，并将它们堆叠在一起，这是最终的查询支持亲和度特征，维度为N K。支持-支持亲和力。我们以相同的方式为每个专家模型提取支持-支持亲和度特征。如果我们使用As-s来表示当前专家模型的支持度-支持度亲和度特征，则As-s是K K维的矩阵，并且（i，j）上的元素被定义为余弦Si和em的嵌入特征之间的相似性，Sj的层理特征，如等式中所示二、As−s[i，j]=CosSimilarity（F（Si），F（Sj））（2）注意As−s是一个对称矩阵，对角元素总是1（假设嵌入特征是归一化的）。因此，与其保留所有的元素-项，我们将K *（K − 1）/2个元素保持在右上（或左下）矩阵中，并且A s−s成为K′=K（K1）/2维的向量。我们计算所有专家模型的A s−s，并将它们堆叠在一起，这是最终的具有维度N-K ′支撑-支撑亲和性特征。跨专家亲和力。 为了计算跨专家亲和度，我们需要所有N个专家模型的支持集。在每一次选择一个专家模型作为基模型，其他N1个专家模型称为成员模型。我们依次选择基础模型，因此如果我们使用Ac-e来表示跨专家亲和度特征，那么Ac-e是一个矩阵，矩阵的第i行是当第i个专家模型被选为基础模型时计算的特征。（i，j）上的元素被定义为由基本模型输出的第j个支持样本（表示为Si，j）出现在由成员专家模型输出的支持集中的频率，如等式（1）所示。3 .第三章。Σ1（S ∈S）Si={Si、j|j = 1, .. K}。 每个模型学习一个映射Ac−e[i，j] =l∈{1，…N}−{i}i，jlN−1（三）从图像空间到其潜在特征嵌入空间。因此，I与第i个专家模型的嵌入特征可以表示为Fi（I）。这些专家模型的异质性为每个查询样本提供了多视图信息。 上下文功能由三部分组成：查询-支持亲和性、支持-支持亲和性和跨专家亲和性，并且我们详细描述每一个。查询支持亲和性。我们以相同的方式提取每个专家模型的查询支持亲和度特征。因此，我们使用S={Sj|j=1，…K}而不是Si={Si，j|j=1，…K}，以简化。同样，我们1（）是一个指示符函数，当参数为真时，它给出的值为1。因此，跨专家亲和度特征是具有维度N K的矩阵。总之，上下文特征有三个部分查询支持亲和度特征A q−s∈ RN *K，支持支持亲和度特征A s−s∈RN*K′和跨专家亲和度特征A c−eRN*K。我们把所有的矩阵都并将它们连接在一起作为一个查询样本的最终上下文 特征 我们 用x 表 示上 下文 特 征， 因 此x∈Rd ，15101d=N<$K+N<$K′+N<$K。15102}{|··Q11，11，4Q11，21，3Q1专家型号C13，41，11，4Q13，12，43，33，22,1C11，21，32，22，3查询支持关联1，11，4查询样本Q1Q12，42，11，21，3专家型号C2C22，22，3画廊集支持-支持亲和力攻击或不是吗Q12，12,32,22，43，13,4专家型号C3检测器C33，33，2专家模型上下文特征跨专家亲和度查询-支持关系支持-支持关系跨专家关系图3.提出的多专家对抗性攻击检测系统的流水线。我们采用多个国家的最先进的ReID网络与不同的架构作为专家模型。将查询样本的前K个检索定义为一个支持集，并且每个检索都是一个支持样本。基于查询支持度、支持度和跨专家支持度，我们定义了每个查询图像及其支持集的上下文然后学习以上下文特征作为输入的检测器来区分攻击和良性。可以注意到，在此图中，我们使用三个专家模型和前4个检索作为示例来说明我们的框架。3.3.2对抗性攻击检测器定义了上下文特征后，下一步是学习对抗性攻击检测器。如图在图3中，检测器基本上是二元分类器，其将上下文特征作为输入并输出查询图像是否被扰动。由于输入是相对低维的，我们使用多层感知器（MLP）分类器作为检测器。为了训练检测器，我们提取具有be-nign查询样本的上下文特征并将分类标签y=0分配给它们，并且还提取具有扰动查询样本的上下文特征并将分类标签y=1分配给那些上下文特征。 因此，训练集为（xi，yi）i=1，2，…M和M是训练集的大小。在测试过程中，给定一个查询样本，首先从多个专家模型检索到的查询样本及其支持集中提取上下文特征，然后将上下文特征输入到检测器中，判断查询样本是否受到扰动。4. 实验4.1. 实现细节数据集。我们在Market 1501 [51]和DukeMTMC-ReID[37]数据集上验证了MEAAD的对抗性攻击检测性能。Market1501由六个摄像机捕获。训练数据集包含751个身份的12，936个裁剪图像，而测试集包含750个身份的19，732个裁剪图像。DukeMTMC-ReID数据集由八个相机捕获。存在用于训练的702个身份的16，522个边界框和用于测试的17，661个图像的另外702个身份。在我们的实验中，我们遵循这两个数据集的标准训练和测试分割。攻击实施。 我们评估了我们的防御策略，以对抗两种最先进的对抗性攻击方法（Deep Mis-Ranking [42]和advPattern [45]）。针对ReID系统设计的四种攻击（ FGSM [11]，CW[32]，Deepfool [29]和PGD [27]），以及针对MEAAD的两种自适应攻击（自适应CW和多模型目标攻击）。以下描述了针对ReID的两种攻击：深度错误排名[42]是一种数字攻击，通过提出学习错误排名公式来扰乱ReID系统输出的排名advPattern[45]是一种针对ReID系统的物理世界攻击，它在衣服上添加了可打印的对抗性图案。请注意，为了进行大规模的评估，我们不打印生成的模式并物理地添加它们。相反，我们将这些图案数字化地添加到人物图像上。这有利于攻击者，因为他们可以控制如何捕获他们的物理扰动防御实施。前15个检索被用作每个查询的支持集。为了创建具有高度异质性的专家系统，在评估期间使用具 有 不 同 网 络 架 构 的 人 员 ReID 模 型 。 由 于 其 在Market1501 数 据 集 上 的 卓 越 性 能 ， PCB [38] ，AlignedReID（AR）[48]，HACNN [23]，LSRO[53]和Mudeep（MD）[33]是用作专家模型的五个候选者， 并且类似 地，AlignedReID [48]、 LSRO [49]和LSRO [49]是作为专家模型的五个[53] HHL [54]，CamStyle（CS）[55]和SPGAN [7]是作为DukeMTMC-ReID数据集评估专家模型的五个候选模型。对于所有八个模型，我们使用作者发布的模型与训练的参数。两种方法在两个数据集上的ReID性能MEAAD中的检测器是具有分别包含512和256个节点的2个隐藏层的MLP分类器。ReLU函数用作激活函数。除了为检测器训练收集良好的上下文特征外，我们还通过使用深度错误排名[42]，adv-15103···表1.与Market 1501和DukeMTMC-ReID数据集上针对深度误排名和advPattern攻击的最先进对抗性攻击检测方法进行比较。Market1501 DukeMTMC-ReID防御方法深错误排名advPattern深错误排名advPatternACCAUCF1ACCAUCF1ACCAUCF1ACCAUCF1Dk NN [30]87.993.886.998.999.199.090.297.891.198.599.098.6盖[26]90.696.291.199.399.799.487.495.288.199.499.699.7SRM [24]94.398.294.199.299.899.591.297.292.199.699.799.7MEAAD（投票）91.791.791.098.698.698.688.788.788.196.896.896.7MEAAD（检测器）98.599.898.699.610099.695.399.295.599.799.799.7模式[45]和其他攻击方法。请注意，在训练集中没有查询/图库分离;我们随机选择一个人的图像作为查询样本，并使用所有其他人作为图库样本。使用动量为0.9的SGD优化器进行训练。学习率为1 e-4。检测器训练在5，000次迭代后完成，批次大小设置为1，024。我们 的 实 验 是 在 NVIDIA GTX 2080TI GPU 上 使 用Pytorch。评价指标。为了判断输入到ReID系统中的查询图像是否受到干扰，我们首先从所选择的专家模型中获得检索结果，并提取上下文特征;然后将上下文特征输入到检测器中以分类为攻击或良性。因此，用于评估检测性能的一个度量是分类准确度或称为检测准确度（Acc）。我们在测试集中保持良性和扰动样本的数量平衡。除了使用概率阈值0.5来决定是否扰动外，我们还 可 以 灵 活 地 调 整 阈 值 并 得 到 受 试 者 工 作 特 征（ROC）曲线，对此，我们报告ROC曲线下面积，即，R 0 C-AUC，作为另一个检测性能度量。同样，我们也使用F1分数，这是检测精度和召回率的调和平均值作为一个度量。4.2. 攻击检测性能在本节中，我们在Market 1501和DukeMTMC-ReID数据集上评估了针对深度错误排名攻击和advPattern攻击三种最先进的检测方法被扩展以处理ReID系统;它们被用作下面描述的基线方法。更多细节可以在补充材料中找到。局部内在维度（LID）[26]表征了对抗区域的内在维度，这是数据集的属性[1]。对抗性扰动影响对抗性区域的LID特性，并且因此它们被用于检测对抗性示例。深度k-最近邻（Dk NN）[30]将k-NN算法与样本的特征表示相结合：将输入与度量空间中的邻居进行比较。这些邻居的列表提供模型训练流形之外的输入的置信度估计，例如。对抗示例，用于检测对抗攻击。表2. Market1501数据集上不同数量的专家模型的对抗性攻击检测* 表示攻击者已知的攻击目标模型。专家模型访问AUCF1AR*95.2 99.1 95.5AR*+PCB97.899.797.9AR*+PCB+LSRO98.499.898.4AR*+PCB+LSRO+HACNN98.599.898.6空间丰富模型（SRM）[10，24]从隐写分析的角度检测不利的例子，并提出了对小扰动敏感的增强隐写分析特征。因此，它可以用来区分扰动样本的良性。此外，我们不提取完整的上下文特征并训练数据驱动的检测器，而是简单地使用所有专家模型中的公共支持样本的数量作为特征和阈值来决定攻击或良性。这被用作第四基线（MEAAD（投票））。针对Market1501的评估，选择AlignedReID作为攻击者已知的攻击目标模型，AlignedReID、LSRO、PCB和HACNN作为专家。对于DukeMTMC-ReID的评估，LSRO是攻击目标模型，LSRO，SPGAN，选择AlignedReID和HHL作为专家。检测性能见表1。1.一、我们观察到，相比深度误排序攻击，advPattern攻击更容易被检测到;基线方法和我们的方法都具有超过96.7%的F1分数，但是我们的方法（MEAAD（检测器））表现更好。为了检测深度错误排名攻击，我们的方法在两个数据集上的性能明显优于基线方法。例如，D k NN方法在Market 1501数据集上的F1得分为86.9%; LID法为91.1%; SRM法为94.1%;当阈值为5时，MEAAD（Voting）的识别率为91.0%，MEAAD（Detector）的识别率为98.6%，比最佳基线提高了4.5%。4.3. 消融研究在本节中，我们进行消融研究以了解a）专家模型的数量如何影响检测性能; b）检测性能是否对专家模型的不同选择敏感;15104表3.使用/不使用攻击目标模型作为Market 1501上的专家模型之一的对抗性攻击检测。表4. Market1501数据集上不同支持集大小的对抗性攻击检测。专家模型ACCAUCF1顶部-KACCAUCF1AR*95.299.195.5K=192.399.292.9AR*+PCB+LSRO+HACNN98.599.898.6K=594.499.794.7PCB88.295.188.7K=1097.599.897.6PCB+LSRO93.798.593.9K=1598.599.898.6PCB+LSRO+HACNN94.298.594.2K=2098.599.898.5K=3098.599.898.6支持集的大小影响检测性能; d）三种类型的关系（查询-支持关系、支持-支持关系和跨专家关系）在攻击检 测 中 的 重 要 性 Deep Mis-Ranking 用 于 攻 击AlignedReID模型，用于Market 1501上的评估。专家模型的数量。在本节中，我们研究更多的专家模型是否可以提高Market1501数据集上MEAAD的检测性能。如Tab.所示。2、拥有更多的专家模型，检测性能更好。表5.消融试验：在Market1501数据集上使用不同的上下文特征进行对抗性攻击检测。Ac−eAq−sAs−sAcc AUC F1✓94.9 99.4曼斯更好。我们认为这是因为更多的专家模型带来了更多的上下文信息，因此前-✓所提取的上下文特征在良性样本和扰动样本之间更有区别。注意，当专家模型的数量为1时，不存在跨专家亲和性特征，仅使用查询支持亲和性特征和支持支持亲和性特征，然而，在这种情况下，我们仍然获得非常好的性能：Market1501的F1得分为95.5%。结合四个专家模型（AlignedReID，LSRO，PCB和HACNN），我们实现了最佳检测性能：在Market1501数据集上的检测准确率为98.5%DukeMTMC-ReID数据集的结果可参见补充材料。专家模型的选择。在本节中，我们将探讨MEAAD在不同专家模型选择下的检测性能。比较了两种选择策略，即包括攻击目标模型作为专家模型之一，和不使用攻击目标模型作为专家模型之一。结果见表。3 .第三章。我们观察到，在Market1501数据集上，使用攻击目标模型（AR模型）作为唯一专家模型的F1得分为95.5% ， 高 于 使 用 其 他 三 种 专 家 模 型（PCB+LSRO+HACNN）时的94.2%。这表明将攻击目 标 模 型 包 括 为 专 家 模 型 之 一 是 有 益 的 。 在DukeMTMC-ReID数据集上可以得出相同的结论，详细信息可以在补充材料中找到。一个潜在的原因是攻击被调整到目标模型，这在检索中与其他专家产生了更大的差异。支持集的大小。请注意，所有先前的评估都是在支持集的大小等于15的情况下完成的，基本上使用前15个检索来提取上下文。我们探讨了支持集的大小如何影响攻击检测性能。特别地，我们评估了当K=1，5，10，15，20，30时的攻击检测性能，如表1所示。4.第一章注意，K=1意味着存在不使用支持-支持亲和性特征，仅使用查询-支持亲和性特征和跨专家亲和性特征。我们观察到，通常使用较大的支持集可以提供更好的攻击检测率，当K=15时，我们实现了98.5%的检测准确率-与K=1的结果相比提高了6.2%。 可以看出，此后（K>15），随着支撑样品的增加，性能几乎稳定。不同关系的重要性。MEAAD中使用的上下文特征由三部分组成，即查询-支持亲和特征（Aq-s）、支持-支持亲和特征（As-s）和跨专家亲和特征（Ac-e）。为了量化每个关系的贡献，我们对Market1501数据集进行了消融研究。如Tab.所示。5，当只使用一个关系检测攻击时，我们已经在所有情况下实现了超过90.5%的检测准确率所有三个特征是互补的，即，组合它们中的两个一致地提高检测性能，例如检测准确度从90.9%（支持-支持亲和度）提高当使用所有这些方法时，我们的方法实现了最好的攻击检测性能98.5%的F1得分，99.8%的AUC得分和98.6%的检测准确率。4.4. 防御新的攻击方法回想一下，我们需要良性样本和扰动样本来训练MEAAD中的检测器。因此，检测器能够检测到已经出现在其训练集中的攻击然而，随着新的攻击方法的提出，在训练集中穷尽地覆盖所有攻击方法是不可行的。在本节中，我们将评估我们的防御方法如何转移到新的未知攻击。我们扩展✓93.6 99.6 94.0✓90.9 97.8 91.6✓✓97.2 99.5 97.1✓✓95.6 99.6 95.797.099.597.0✓ ✓98.599.898.61510596.1 98.7表6.针对Market1501数据集上看不见的新攻击的对抗性攻击检测测试设置攻击CWCW Deepfool FGSM PGDAcc AUC F1 Acc AUC F1 Acc AUC F1 Acc AUC F1 Acc AUC F1 96.1 98.6 96.2 96.298.6 96.3 96.9 99.097.0培训深度傻瓜95.8 98.695.996.0 98.696.1 95.8 98.6 95.9 96.6 98.9 96.7四种针对通用DNN的对抗性攻击方法来攻击ReID系统;基本上，我们将ReID模型的最后一层视为身份预测层，并且在此之上，可以生成对抗性查询示例用于训练和测试。四种攻击方法：FGSM [11]，CW [32]，Deepfool [29]和PGD [27]都是用Torchattacks [15]实现的。我们用一种攻击方法生成训练集，并在所有攻击方法上测试训练的检测器。实验是在Market1501数据集上 进 行 的 。 AlignedReID 用 作 攻 击 目 标 模 型 。AlignedReID、LSRO和PCB被用作三个专家模型。结果见表。六、当检测器在与其训练集相同的攻击方法上进行测试时，检测性能非常好，例如，在检测CW攻击时，F1得分等于96.2%。当检测器被要求检测看不见的攻击时，性能保持不变或下降一点点，例如，与已知的CW攻击相比，当检测未知的Deepfool攻击时，F1得分从96.2%下降到95.9%。这表明，虽然不同的攻击方法产生的扰动方式不同，但扰动往往会导致检索结果混乱，因此，本文提出的检测上下文不一致性的防御策略在不同的攻击方法之间具有很好的移植性，对未知的新攻击是有效的。4.5. 针对MEAAD的为了进一步评估MEAAD自适应CW攻击，并采用一种新的自适应攻击方法，即，多模式有针对性的攻击，以规避MEAAD。更多细节可以在补充材料中找到。自适应CW攻击我们通过向损失函数引入新的损失项（与MEAAD中定义的三种上下文相关联）来扩展自适应CW算法[4]，并且新的损失项如下：l*（MEAAD（xadv））=−Σ（Aqs+Ass+Ace）（4）新项的定义，以减少检索的不一致性的对抗性的例子。最小化等式中增加的项的基本原理。4是不利示例比良性示例具有更低的上下文亲和性实验结果表明，这种自适应攻击使MEAAD目标ReID模型对攻击者来说是白盒的，并且当所有ReID模型对攻击者来说都是白盒时为3.5%。无论哪种方式，MEAAD的ROC-AUC评分仍然很高，超过95%。多模式定向攻击。如图1，非目标攻击的检索结果是混乱的，并且在不同的模型之间不一致，并且因此通过MEAAD检测这样的攻击。如果我们假设所有专家ReID模型对攻击者来说都是白盒，那么攻击者可以同时对所有模型进行有换句话说，这种自适应攻击生成对抗性示例，这些示例欺骗MEAAD中使用的所有ReID模型（目标模型和专家模型）以检索相同的错误身份，因此上下文将更加一致。我们将[2]中的对抗性度量攻击扩展为多模型目标攻击，用于攻击MEAAD。然而，与以前的工作[56]一致MEAAD5. 结论在本文中，我们提出了一个多专家对抗性攻击检测框架，通过检查上下文不一致（对抗性攻击的副作用）来检测针对ReID系统的对抗性攻击。 经验研究-结果表明，查询-支持度亲和度、支持-支持度亲和度和跨专家亲和度能够区分出干扰的结果。因此，我们建议利用这三个关系来形成每个查询样本的上下文特征。然后，检测器在良性和扰动样本的上下文特征上进行训练，然后用于检测对抗性攻击。在Market 1501和DukeMTMC-ReID数据集上的实验表明，MEAAD能够有效检测Deep Mis-Ranking、advPattern、Deepfool、CW、FGSM和PGD等多种对抗性攻击，并且MEAAD能够有效检测未知的新攻击。致谢。这项工作部分由中国国家自然科学基金62073126和61771189基金支持，部分由湖南省自然科学基金2020 JJ 2008基金支持，部分由UCR海军研究办公室（ONR）N 00014 -19-1-2264基金支持。FGSM96.198.796.296.0 98.796.196.1 98.896.296.8 99.0 96.9PGD94.098.493.893.7 98.393.6 94.1 98.493.915106引用[1] Laurent Amsaleg 、 Oussama Chelly 、 Teddy Furon 、StéphaneGirard 、 MichaelEHoule 、 Ken-ichiKawarabayashi和Michael Nett。估计局部固有维数。ACM SIGKDD International Conference on KnowledgeDiscovery and Data Mining，第29-38页，2015年。6[2] Song Bai ， Yingwei Li ， Yuyin Zhou ， Qizhu Li ， andPhilip H.S.乇用于人员重新识别的对抗性度量攻击和防御。IEEE Transactions on Pattern Analysis and MachineIntelligence，43（6）：2119-2126，2021。一、二、八[3] 昆汀·布尼奥特、罗马里克·奥迪吉耶和安吉丽克·勒施。人员重新识别模型对度量对抗攻击的脆弱性在IEEE计算机视觉和模式识别研讨会会议集，第794-795页二、三[4] 尼古拉斯·卡利尼和大卫·瓦格纳。对抗性的例子不容易被发现：绕过十种检测方法。在ACM人工智能和安全研讨会论文集，第3-14页，2017年。三、八[5] Shang-Tse Chen ， Cory Cornelius ， Jason Martin ， andDuen Horng Polo Chau.变形者：对更快的r-cnn对象检测器的鲁棒物理对抗攻击。在数据库中的机器学习和知识发现联合欧洲会议上，第52-68页。Springer，2018. 2[6] Gilad Cohen，Guillermo Sapiro，and Raja Giryes. 使用影响函数和最近邻检测对抗样本在IEEE计算机视觉和模式识别会议论文集，第14453-14462页，2020年。第1、3条[7] Weijian Deng ， Liang Zheng ， Qixiang Ye ， GuoliangKang，Yi Yang，and Jiabin Jiao.具有保留的自相似性和域不相似性的图像-图像域自适应用于人重新识别。在IEEE计算机视觉和模式识别集，第994二、五[8] Wenjie Ding ， Xing Wei ， Xiaopeng Hong ， RongrongJi，and