1针对性不匹配对抗攻击:《花问塔》乔治斯·托利亚斯·菲利普·拉德诺维奇·翁德雷杰·朱姆布拉格捷克技术大学电气工程学院视觉识别小组摘要→访问在线视觉搜索引擎意味着共享私人用户内容-查询图像。我们引入了针对深度学习的目标失配攻击检索系统,以生成一个对抗性的图像,删除查询图像。生成的图像看起来什么都没有类似于用户预期的查询,但导致相同或非常相似的检索结果。将攻击转移到完全不可见的网络是一项挑战。我们展示了成功的攻击,部分未知的系统,通过设计各种损失函数的对抗图像的建设。这些包括损失函数,例如,用于未知的全局池化操作或未知的检索系统的输入分辨率我们对标准检索基准进行了攻击评估,并将检索结果与原始图像和对抗1. 介绍关于用户的信息是一篇有价值的文章。网站、服务提供商甚至操作系统都会收集和存储用户数据。所收集的数据具有多种形式,e.G.访问的网站、社交网络中用户之间的交互、硬件指纹、键盘键入或鼠标移动模式等。互联网搜索引擎记录了用户搜索的内容以及用户的回复,即点击,返回结果。计算机视觉的最新发展允许推出高效和精确的大规模图像搜索引擎然而,类似于文本搜索引擎,查询在这项工作中,我们通过构建一个新的图像来保护用户图像(目标)。构造的图像在视觉上与目标不同,然而,当用作查询时,检索到与目标图像相同的结果大规模搜索方法需要短码图像表示,这既可以使存储最小化,也可以提高搜索效率,通常是提取的1 Google搜索帮助:“您在搜索中上传的图片可能会被Google存储7天。它们→→查询检索结果图1.上面两行显示用户查询图像(目标)的检索结果。下面两行显示了我们的攻击结果,其中载体图像(花,圣母院)被扰动,以具有与第一行中的目标相同的描述符。在不披露目标的情况下获得了相同的结果。卷积神经网络(CNN)我们将这个问题表述为对CNN的对抗性攻击。对抗性攻击,由Szegedyet al.[35],研究不可感知的非随机图像扰动来误导神经网络。第一次攻击的介绍和测试的图像分类。在这方面,对抗性攻击分为两类,即非针对性攻击和针对性攻击。非目标攻击的目标是将测试图像的预测更改为任意类别[25,24],而目标攻击则试图对网络预测进行特定更改,即将测试图像错误分类为预定义的目标类别[35,7,10]。与图像分类类似,对抗性攻击也被提出用于图像检索领域。非目标攻击试图生成一个图像,对于人类观察者来说,它携带相同的视觉信息,而对于神经网络来说,它看起来与同一对象的其他图像不同[19,20,37]。这样,用户保护个人图像,不允许它们在-5037原始攻击5038Xdex用于基于内容的搜索,即使图像是公开的。在本文中,我们解决了针对性攻击,旨在检索与隐藏目标查询相关的图像,而不会显式显示图像(见图1)。示例应用包括用户检查他们的受版权保护的图像或具有敏感内容的个人照片等。索引,即,由任何其他人使用,而不提供查询图像本身。这种保护隐私的情况是“合法”动机的一个例子。一个与我们的概念相似的概念存在于语音识别中,但是在恶意的上下文中。Carlini等人[6]生成隐藏的语音命令,这些命令人类听众无法感知,但被设备解释为命令。我们研究了白盒场景之外的对抗性攻击,其中检索系统的所有参数和设计选择都是已知的。具体地,我们分析了网络中使用的未知索引图像分辨率和未知全局池的情况2. 相关工作Szegedy等人介绍了对图像分类的对抗性攻击。[35 ]第35段。后续方法被归类为白盒攻击[35,12],如果有模型的完整知识或黑盒[28,29]。对抗图像是通过文献中的各种方法生成的,例如使用框约束L-BFGS优化器的基于优化的方法[35],变量变化的梯度下降[7]。快速梯度符号方法[12]和变体[18,10]被设计为快速而不是最优,而DeepFool [25]通过假设神经网络是完全线性的来分析推导最优解方法。所有这些方法都解决了给定测试图像及其相关联的类的情况下的非有针对性的攻击或测试图像和目标类的情况下有针对性的攻击的优化问题。Moosavi等人提出了一种通用的非靶向方法。[24],其中计算图像不可知的通用对抗性扰动(UAP)并将其应用于不可见的图像以引起网络误分类。最近的工作[19,20,37]在基于CNN的方法的非目标场景中研究了对图像检索的对抗性攻击Liu 等[20]Zhenget al.[37]采用基于优化的方法[35],而李等人。[19]第24话,对基于SIFT局部描述符的经典检索系统的类似攻击[21]已经在Do等人的早期工作中解决。[9、8]。据我们所知,没有现有的工作集中在图像检索的有针对性的对抗攻击Amsaleg等人研究了高维空间中最近邻的目标攻击问题。[2],其中他们直接扰动高维向量,并表明高局部内在维数导致高脆弱性。3. 背景我们提供了图像分类领域的非目标性和目标性对抗性攻击的背景本节中呈现的所有变体都假设白盒访问网络分类器以进行分类或访问特征提取器网络以进行检索。3.1. 图像分类攻击我们用张量xc∈ [0,1]W×H×3表示初始RGB图像,称为载体图像,用yc∈ {1}表示其相关标签。. . K}。训练用于K路分类的CNN,由函数f:RW×H×3→RK表示,产生包含类置信度值的向量f(xc)。对抗性攻击方法分类典型案例研究具有正确类别预测的图像,即,arg maxif(xc)i等于yc,其中f(xc)i是向量f(xc)的第i维。对手的目标是生成在视觉上类似于载体图像但被f错误分类的对手图像xa。 攻击的目标可以vary [1],对应于优化x ∈ [0,1]W×H×3的不同损失函数。非目标误分类是通过降低类别yc的置信度,同时增加所有其他类别来实现的。它通过最小化损失函数Ln c(xc,yc;x)=−c e(f(x),yc)+λ||x−xc||二、(一)函数f(x),yc)是交叉熵损失,其被最大化以实现误分类。这样,任何一个错误的类都会被误分类Term ||x −xc||2称为载波失真或简称失真,是扰动向量r = x − xc的平方l 2范数。其他规范,如l∞,也适用[7]。目标误分类的目标是生成一个被分类为目标类的对抗图像。它通过最小化损失函数Lt c(xc,yt;x)=λc e(f(x),yt)+λ||x−xc||二、(二)与(1)相反,交叉熵损失相对于(1)被最小化。目标类而不是最大化w.r.t.航母级。(1)或(2)的优化生成由下式给出的对抗图像:xa= arg mxinLnc(xc,yc;x),(3)或xa= arg minLtc(xc,yt;x),(4)分别在文献[35,7]中,使用了各种优化器,如Adam[16]或L-BFGS [5]。箱形约束,即. x∈[0,1]W×H×3,通过投影5039有针对性的不匹配攻击梯度下降、剪切梯度下降、变量变化[7]或支持箱约束的优化算法,如L-BFGS。通常的做法是对权值λ >0进行线搜索,并保持最小失真攻击。优化由载体图像初始化。3.2. 图像检索组件本文主要研究了基于CNN的全局图像描述子图像检索算法。通过具有全局池化层的CNN将图像映射到高维描述符。描述符因此被归一化为具有单位l2范数。然后,检索从一个大的数据集w.r.t.目标载体相似描述符对抗性通过查询描述符和数据集描述符之间的内积评估,查询图像用于描述符提取的模型由以下组件或参数组成。图像分辨率:输入图像x被重新采样以使图像xs具有等于s的最大维度。特征提取:图像xs作为输入被馈送到全卷积网络(FCN),由函数g表示:RW×H×3→Rw×h×d,它将xs映射到张量g(xs)。当图像以其原始分辨率馈送时,我们将其表示为g(x)。Pooling:全局池化操作h:Rw×h×d→Rd将输入张量g(xs)映射到描述符(hg)(xs)。图2.在有针对性的不匹配攻击中,在给定载体和目标图像的情况下,对抗图像应该与目标图像的描述符相匹配,但在视觉上与目标不相似;通过与载体的视觉相似性来实现与目标的视觉不相似性。该攻击是由使用对抗图像的检索查询形成的,其中目标是获得与目标查询相同的结果,同时保持目标图像私有。非目标失配旨在生成与载体图像和描述符不同的载体图像和描述符相比具有小扰动的对抗图像。这是由损失函数Ln r(xc;x)=<$n r(x,xc) +λ||x−xc||2我们假设l2标准化包含在这个亲-=hhx+λ||x−xc||二、(五)cess,因此输出描述符具有单元l2标准我们xc考虑各种池化选项,即最大池-ing(MAC)[32,36]、总和池化(S)[4]、一般化平均池化(GeM)[31]、区域最大池化(R-MAC)[36]以及空间和通道加权总和池化(CrowW)[15]。该框架可以扩展到多个其他变体[27,23,3]。白化:描述符后处理由函数w:Rd→Rd执行,其包括居中、白化和l2重新归一化[31]。最后,将输入图像xs映射到描述符(whg)(xs)。为 简 洁 起 见 , 我 们 记 为 gx=g ( x ) , hx=(h<$g)(x),wx=(w<$h<$g)(x)。在下文中,我们考虑对抗图像优化期间的提取模型在检索/匹配性能的测试过程中,另一个过程被执行为了区分这两种情况,我们将前者的组成部分称为攻击模型,攻击解决方案,攻击FCN,攻击池和攻击白化,后者称为测试模型,测试解决方案,测试FCN,测试池和测试白化。3.3. 图像检索攻击对抗性攻击的图像检索到目前为止仅限于非目标的情况下。对抗图像由极小化器xa= arg mxin Lnr(xc; x).(六)通过这种方式,对手将图像修改为不可索引的对应图像。(5)中的确切表述尚未解决;最接近的是李等人的工作。[19]其中他们通过最大化l1描述符距离而不是最小化余弦相似性来寻找UAP4. 方法我们制定了有针对性的不匹配攻击的问题,然后提出了各种损失函数来解决它,并构建隐藏的查询图像。4.1. 问题公式化对手试图生成一个对抗图像,目的是将其用作图像检索的(隐藏)查询,而不是目标图像。目标是在不泄露目标图像信息的情况下获得相同的检索结果。我们假设目标图像xt∈ RW×H×3和载体图像xc具有相同的分辨率(见图2)。目标5040是生成与目标具有高描述符相似性但视觉相似性非常低的对抗图像xa视觉(人类)的不相似性不是直接的模型;我们对视觉相似性进行建模。另一个图像,即,相反,承运人。我们将此问题称为目标失配攻击,相应的损失函数由下式给出:激活直方图。在原始分辨率下保持激活张量的通道方向一阶统计量是比保持精确激活张量更弱的约束它保证所有忽略空间信息的全局池化操作的描述符相同。激活直方图损失函数定义为1ΣdL t r(xc,xt;x)=λ t r(x,xt)+λ||x−xc||二、(七)x,xt)=di=1||、(10)||,(10)在第4.2节中,我们根据测试模型的已知和未知组件提出了性能损失4.2. 有针对性的不匹配攻击在所有以下内容中,我们假设对FCN的白盒访问,而白化被假设为未知的,并且在对抗图像的优化期间被完全忽略;通过将其添加到测试模型来评估其对攻击的影响。一般来说,如果测试模型的所有参数都是已知的,则任务是生成再现目标图像的描述符然后,最近邻搜索将检索相同的结果,如果查询与目标图像。选择一个不同的-其中u(gx,b)i是来自gx的第i个通道的激活的直方图,b是直方图箱中心的向量直方图由RBF核通过软赋值创建内尔2.与张量情况相比,直方图优化不保留空间分布,显著更快,并且不会遭受不期望的disclo- sure伪影。不 同 的 图 像 分 辨 率 。 我 们 需 要 目 标 原 始 分 辨 率(W×H)的对抗图像,当下采样到分辨率s时,它会检索到类似的重采样。结果是下采样到相同分辨率的目标图像。这是通过损失函数Ls(x,xt;x)=λt r(xs,xs)+λ||x−xc||第二章,(十一)trt损失引入不变性或鲁棒性,当这些参数未知时,被攻击的检索系统的参数。我们列出了用于最小化(7)的不同性能损失函数。全局描述符。 损失函数其中,Rectr可以是描述符、张量或直方图性能损失函数。注意,(11)与(7)不同,性能损失是根据重新采样的图像计算的,而失真损失仍然在原始图像上(x,x)=1−h.(八)CNN中使用的一种常见的下采样方法是双描述xxt线性插值我们观察到,不同的IM-当检索系统的所有参数(包括池化)都已知时,以及当图像由神经网络以其原始分辨率处理时,在我们的实验中,池化函数h是MAC、S/N或GeM激活张量。在这种情况下,FCN的输出对于对抗图像和目标图像应该是相同的,在原始分辨率下。这是通过最小化两个激活张量的||gx−gx||2不这种层的实现导致不同的描述符。该差异是由高分辨率图像中的高频的存在引起的。对抗性扰动往往是高频的,因此不同的下采样结果可能会显著改变攻击的结果。为了降低对下采样的敏感性,我们在优化中引入了高斯模糊的高频去除。使用以下损失代替(11Ls(x,xt;x)=t r(xs,xs)+λ||x−xc||第二条,第十二条(x,xt)=.(9)贸易w·h·d其中,xs是用高斯核模糊的图像x,σb相同的张量保证计算相同的描述符在这些张量之上,包括那些考虑空间信息的张量。这涵盖了所有全局或区域池化操作,甚至是深度本地特征,e.G. DELF [26].然而,我们的实验表明,保留激活张量可能会导致转移然后下采样。实验表明,当攻击分辨率s与测试分辨率s ′不完全匹配时,模糊环起着重要的作用,即当攻击分辨率s与测试分辨率s′不完全匹配时,模糊环起着重要的作用。s′=s+ m。合奏。我们通过最小化它们的总和来对上述损失函数的组合进行对抗优化。以下是一些例子目标在图7)。此外,目标图像的视觉外观2我们使用e(x-b)22σ2,其中σ = 0。1,x是归一化的标量激活可以通过反转[22]激活部分恢复对抗图像的张量。目标的最大激活值,b是bin中心。我们在[0,1]中以步长等于0.05均匀采样箱中心。5041tcXhisthisthist- 测试池操作是未知的,但有一个集合P可能的池操作。针对性能损失执行(7Σn(x,x)最大尺寸等于1024,这是原始图像分辨率。由于裁剪图像查询,ROxford和RParis与其他两个使用定义查询的裁剪图像区域P(x,xt)=p∈Pp|P|不.(十三)作为目标,查询和数据库图像之间的相对比例变化应被保留,以不影响- 测试分辨率未知。集合的联合优化S的分辨率,时间(xs,xs)LS(x,x;x)=s∈Strt+λ||x−x||二、(十四)tr|S|使用任何性能损失补偿器,有或没有模糊。4.3. 优化优化是用亚当和投影梯度下降来应用框约束,即。x∈[0,1]W×H×3. 对抗图像由载体图像初始化,而在每次更新之后,其值被裁剪为[0,1]。对抗图像由下式给出:xa= arg minLtr(xc,xt;x),(15)其中,根据变型,Ltr可以是Ldesc(其中地面真相当用于描述符提取的图像分辨率不同于原始分辨率时,我们使用与未裁剪的图像应该被下采样的相同的缩放因子对裁剪的图像进行下采样。5.2. 实施细节和实验设置我们将学习率设置为0。01,并对Ldesc和Lhist执行100次迭代,而对Ltens执行1000次迭代。如果没有收敛,我们将学习率降低5倍,将迭代次数增加2倍,然后重新开始。我们用x的维数对失真项进行归一化;为了简洁起见,在第3节和第4节的损失函数中跳过了这一点。此外,为了处理不同FCN的不同激活范围,在计算(9)中的均方误差之前,我们使用最大目标激活对激活张量进行在(12)中的分辨率s处的图像模糊由高斯核执行,具有多个标度的变体表示为例如,关于LS不带模糊或带模糊的LS模糊。5. 实验给定一个测试架构,我们通过两种方式验证了有针对性的失配攻击的成功。首先,通过测量对手图像xa和目标xt的描述符之间的余弦相似度(应该尽可能高),其次,通过使用xa作为图像检索查询并将其性能与目标查询的性能进行比较(应该尽可能接近)。5.1. 数据集和评价方案我们在四个标准图像检索基准上进行实验,即Holidays [14],Copydays [11],ROxford [30]和RParis[30]。 它们都由一组查询图像和一组数据库图像组成,而地面实况表示哪些是相关的数据集图像每个查询。我们选择仅对Holidays和Copydays的前50个查询执行攻击,以形成合理大小的对抗性攻击基准,而对于ROxford,和RParis,我们保留所有70个,评估设置。 所有查询都用作目标,攻击和检索性能用平均平均精度(mAP)来衡量除非另有说明,我们使用σb= 0。3 max(W,H)/s. GeM池化的指数始终设置为3。设置λ= 0提供了(7)的平凡解,即,xa=xt。然而,我们观察到,初始化xc收敛到局部极小值,即使在λ= 0的情况下,局部极小值也比xt更接近xc。这样,我们就满足了不披露的约束,即.对抗图像在视觉上与目标不相似,并且不牺牲性能损失。图像失真w.r.t.不牺牲隐藏目标和保护用户隐私的目标因此,在我们的实验中,我们主要关注λ= 0的情况,但也验证λ >0的情况,以显示失真项的影响或为了促进Ltens情况下的非公开约束。我们实验不同的损失函数的目标不匹配攻击。我们定义S0,S1,S2和S3组攻击解决方案4。我们将AlexNet [17],ResNet 18 [13]和VGG 16 [34]表示为A,R和V,re-分别为。我们使用在Ima-geNet [33]上预先训练的网络,并且只保留其完全卷积部分。AlexNet和ResNet 18集成由E表示;两个网络的平均损失最小化。我们报告了三重攻击模型,损失函数和λ值来表示一种对抗性优化,例如(A,LS1,0)。为了测试,我们报告了三重测试模型,测试池和测试分辨率,例如[A,GeM,S0]。“flower”目标的长宽比。 所有图像都将重新采样,3公开实施:https://github.com/gtolias/tma4S0={1024},S1=S0{300,400,500,600,700,800,900},S2=S1{350,450,550,650,750,850,950},S3=S0【2019- 05 - 25 00:00】【2019-05 00:00】【2019 - 05 - 2500:00】【2019-05-01】【2019 - 05】5042[A,GeM,S0][A, GeM,S0]10−2失真10−1性能损失1.0与目标1.0与承运人10−310−410010110210310−210−310−41001011021030.90.81001011021030.90.8100101102103迭代迭代迭代迭代(a)(b)(c)(d)图3.对抗图像是用不同的损失函数生成的,并且随着迭代次数的变化,报告了各种测量结果。给出的测量值为:(a)w.r.t.载体图像,(b)来自(7)的性能损失,(c)对抗图像与测试用例[A,GeM,S0]的目标的描述符相似性,以及(d)对抗图像的描述符相似性对于测试用例[A,GeM,S0],目标和载体图像如图7所示。(A,Lhist,0)→[A,GeM,750]S1(A,L,0)→[A,GeM,750]Sˆ1(A,Lhist,0)→[A,GeM,450]histS1(A,L,S) ,0)-[A,Ge M,450]1hist1.00.90.8与目标100101102103迭代1.00.90.8与承运人100101102103迭代表1.基于AlexNet的攻击性能评估图4.对抗图像与目标或载体之间的描述符相似性,因为它随着迭代次数而演变。不属于攻击范围的测试分辨率的比较-没有(实线)和有(虚线)模糊情况下的分辨率。对抗优化(左)和测试模型(右)是表示为→。目标和载体图像来自图7。5.3. 结果对于每个对抗图像,我们执行以下测量。我们通过对应的描述符的余弦相似度计算其与目标和载波的相似度,我们测量载波失真,最后,我们通过使用它作为查询来执行攻击,并测量与目标相比的平均精度。优化迭代。我们对不同的损失函数进行优化,并在图3中报告迭代过程中的测量结果。优化全局描述符或直方图收敛速度比张量的情况下,并导致显着降低失真。这证明了我们对这两种方法使用较少迭代次数的选择是正确的。增加λ的值可以保持较低的失真,但牺牲了性能损失,正如预期的那样。在原始图像分辨率下优化的各种损失函数S0。对[A,desc,S0]执行多种类型描述器/池的测试。RParis上的平均精度和对抗图像与tar之间的平均描述符相似性get across all queries是什么意思Original对应于没有攻击的查询。在图4中,我们显示了目标和载体的相似性如何演变为测试分辨率,不包括在攻击分辨率集中。使用图像模糊处理图像提供了显著的改进,特别是对于较小的分辨率。对未知测试合并的稳健性。在表1中,我们给出了不同损失函数和测试池的评估比较。首先研究了攻击分辨率和测试分辨率相同的情况。如果直接优化测试池(LGeM或LP情况),则实现完美的性能。直方图和张量为基础的方法都表现良好的各种测试描述符。对未知测试分辨率的稳健性。评估了具有不同攻击解决方案和测试解决方案的情况,结果如图5所示。的决议,LGeM,0,L历史,0,LS1)、2,L历史(A))))(A(A(A||2||2hHXXt一hHXXCn(xa,xt)一hHXXt一hHXXC一LtrH原始LGeMLPL历史L十地图与原始值的创业板41岁3-0。0-0。0-0。2-0。1Mac三十七0-0。5-0。0-0。8-0。0SPOC三十二9-4。4-0。1-0。1-0。7R-MAC44. 1-1。2-0。5-0。7-0。0乌鸦三十八岁。2-1。3-0。4-0。2-0。0x xa不创业板1 .一、0001 .一、0001 .一、0000的情况。9970的情况。9985043(A、((A、1histLS 、0)histS1没有攻击Lhist,0)L,0)Lhist,0)Lhist,S1SˆL,0)1hist(A、(A、(A、没有攻击hXHXt一地图histhisthisthistShist[A,GeM, s]4010的情况。8[A,GeM, s][A,GeM, s]4010的情况。8[A,GeM, s]30 300的情况。62004201002100的情况。60的情况。40的情况。20400600800一千测试分辨率0400600800一千测试分辨率0400600800一千测试分辨率0400600800一千测试分辨率图5.基于AlexNet的攻击性能评估和一组攻击解决方案。RParis上的平均精度和所有查询中敌对图像与目标之间的平均描述符相似性显示为增加测试分辨率。使用不同的攻击分辨率集进行比较,并比较无(S)和有(S)图像模糊的优化。目标载体λ=10λ=1λ=0公司简介0.702 0.873 0.9870.796 0.953 0.995图6.一个载体图像和两个不同图像的对抗性示例ˆ当λ的不同取值时,优化(A,L2,λ)得到了不同的目标函数。描述符相似性报告为[A,GeM,S0]。不是攻击的一部分-当不执行模糊时,分辨率遭受性能的显著下降,而模糊改善了它。我们观察检索性能和描述符之间的相似性敌对图像和目标的相关性。此外,多分辨率的优化明显优于单分辨率的优化,而攻击分辨率的对数采样(S3)显著提高了非常小的测试分辨率的性能,但损害了较大的。失真项的影响 我们评估[A,GeM,S]当在上述情况下进行测试时美白引入了额外的挑战,但在钉似乎有效的性能略有下降。隐藏/暴露目标。 我们为不同的损失函数生成adversar-ial图像,并在图7中显示示例。相应的张量表明,空间信息仅保留在基于张量的损失函数中。基于张量的方法需要失真项以避免暴露目标的视觉结构(第6列和第7列中的对抗图像)。我们现在提出的问题是为了回答这个问题,使用Mahendran和Vedaldi [22]的方法在多个分辨率下计算gxa基于张量的方法确实揭示了目标的内容在重建,而没有其他的这突出了所提出的基于直方图的优化的好处。请注意,如果重建中使用的分辨率与攻击分辨率(最右列)不同,则重建图像与目标的时间 我们报告每个tar的平均优化时间-2010年在Holidays数据集和单个GPU(Tesla) 上获取图像关于RParisfor(A,LS2,λ)且λ等于0,0. 1,1,10的查询对抗性免疫系统之间的平均相似性P100)用于一些指示性病例。优化(A,LGeM,0),(A,L,S) ,0)、(A,LS1,0)、(A,LS2,0)和(A,LS1 ,0)tak es年龄和目标是0.990,0.987,0.956和0.767,重新-创业板histhist几十而平均失真分别为0.0177,0.0083,分别为1.9、7.5、12.3、22.9和68.4秒。 使用0.0026和0.0008。 对抗性的例子ResNet18(R,L创业板,0)和(R,LS=2,0)分别为3.9和40.6秒。图像如图6所示。测试模型中白化的影响。我们现在考虑测试模型包括描述符白化的情况。在对抗优化期间,白化是未知的。 我们评估性能在RParis上学习白化,在ROxford上学习PCA。没有增白和[A,GeM,S0]或[A,GeM,768]的T分别达到41.3和40.2mAP。 申请后增 白 后, 其 性 能分 别 提 高 到 47.5 和 48.0mA P. 使 用(A,LS)2,0的攻击达到40.2,并且39.4mAP,当在上述情况下测试时没有增白。使用(A,LS)2,0的攻击达到47.3和42.9,分别。多次袭击。我们在表2中显示了多次攻击的结果。我们提出了原始检索性能与攻击所造成的性能差异它总结了基于直方图和张量的优化对未知池操作的鲁棒性。它强调了未知的测试分辨率和模糊的影响的挑战;该结果在各种不同的攻击模型中是有用的。最后一行表明,将攻击转移到不同的FCN(在E上进行优化,包括A和R,并在V上进行测试)很难实现;这比分类更难[35]。没有攻击3histLS 、0)hist(A、2LS 、0)S2Lhist,0)Lhist,(A、(A(A、Lhist,0)S2LS 、0)23histLS 、0)hist(A、(A、(A、没有攻击Lhist,0)(A、地图hHXXt一5044SSSSSS目标载体(A,L1,0)(A,L1,0)(A,L1,1)(A,L1,0)(A,L1,1)(A,L2,0)(A,L1,1)创业板histhist几十几十几十几十公司简介企业文化组织架构0.782 1.000 1.000 0.994 0.999 0.997 0.998 0.997S1S1 S1S1 S1 S1 S1S1 S2 S2\ S1图7.针对不同变体的目标、载体和对抗图像(顶部图像行),张量gx通过深度方向最大值的总结(中间图像行)以及分别在多个分辨率上的gxt、gxc或gxa的反演(底部图像行)。反演的分辨率报告在底行下方。张量反演显示了目标或有关它的任何信息是否可以被从对抗图像中重建出来。前两个反演作为参考。在[A,GeM,1024]的第一图像行下方报告与目标的描述符相似性。6. 结论表2.针对多种攻击、测试模型和数据集的性能评估报告原始查询的平均精度,以及由攻击引起的与原始查询的mAP差异。攻击过程中对抗性优化的参数显示在最左边的列中,而使用的测试模型的类型显示在第二列中。我们已经介绍了图像检索的目标不匹配攻击的问题,并解决它,以构造隐藏的查询图像,而不是最初的意图查询。我们表明,优化一阶统计量是一个很好的方法来生成图像,从而在所需的描述符,而不透露的内容,预期的查询。我们分析了图像重采样的影响,这是图像检索系统的一个自然组成部分,并揭示了简单的图像模糊在对抗图像优化中的好处。最后,我们证明了将攻击转移到新的FCNs比图像分类更具挑战性。我们专注于在隐私保护场景中隐藏查询在恶意场景中,攻击者可能会尝试通过对索引图像进行有针对性的不匹配攻击来破坏搜索结果这是一个有趣的方向,也是一个开放的研究问题。确认工作得 到GA C/RR赠款19- 23165 S和OP VVV资助的项目CZ.02.1.01/0.0/0.0/16 019/0000765“信息学研究中心”的支持。攻击测试R牛津RParis假期工作日S(A,L2,0)hist[A,GeM,S0]26.9/+0.241.3/-1.281.5/+0.280.4/-0.4S(R,L2,0)创业板[R,GeM,S0]21.5/-0.746.9/-0.482.9/-0.369.3/-0.7[R,GeM,768]24.0/-2.548.0/-3.981.7/-4.475.6/-2.8[R,GeM,512]22.4/-6.749.7/-11.182.8/-0.682.1/-10.7[R,GeM,S0]21.5/-1.246.9/-1.982.9/-0.669.3/-1.3(R,L,S2,0)hist[R,GeM,768]24.0/-3.748.0/-7.281.7/-2.375.6/-7.1[R,GeM,512]22.4/-11.249.7/-20.782.8/-17.182.1/-20.6S(R,L2,0)hist[R,GeM,S0]21.5/-1.446.9/-1.882.9/-2.469.3/-1.3[R,GeM,768]24.0/-5.348.0/-6.081.7/-1.775.6/-4.2[R,GeM,512]22.4/-7.449.7/-11.982.8/-4.982.1/-11.35045引用[1] Naveed Akhtar和Ajmal Mian。对抗性攻击对计算机视觉中深度学习的威胁:一个调查。IEEE Access,2018。2[2] 劳伦特·阿姆萨勒、詹姆斯·贝利、多米尼克·巴贝、莎拉·埃尔法尼、迈克尔·E·胡勒、阮永和米洛斯·拉德。学习对adversarial扰动的脆弱性随着内在维度的增加而增加IEEE信息取证与安全研讨会(WIFS),2017年。2[3] Relja Arandjelovic,Petr Gronat,Akihiko Torii,TomasPa-jdla,and Josef Sivic. NetVLAD:用于弱监督位置识别的CNN架构。在CVPR,2016年。3[4] Artem Babenko和Victor Lempitsky。聚合深度卷积特征用于图像检索。在ICCV,2015年。3[5] Richard H Byrd , Peihuang Lu , Jorge Nocedal , andCiyou Zhu.有界约束优化的有限内存算法。SISC,1995年。2[6] 尼古拉斯·卡利尼、普拉提什·米什拉、塔维什·瓦迪亚、张元凯、米卡·谢尔、克莱·希尔兹、大卫·瓦格纳和周文超。隐藏的语音命令。在USENIX Security,2016年。2[7] 尼古拉斯·卡利尼和大卫·瓦格纳。评估神经网络的鲁棒性。在SSP,2017年。一、二、三[8] Thanh-Toan Do , Ewa Kijak , Laurent Amsaleg , andTeddy Furon.面向安全的画中画视觉修改。InICMR,2012. 2[9] Thanh-Toan Do,Ewa Kijak,Teddy Furon,and LaurentAm-saleg.基于内容的图像检索系统的安全性。载于2010年《小额供资和社会保障方案》。2[10] Yinpeng Dong , Fangzhou Liao , Tanyu Pang , HangSu,Jun Zhu,Xiaolin Hu,and Jianguo Li.给敌对的进攻增加动力。在CVPR,2018年。一、二[11] 这是杜兹、赫夫和杰古、哈希姆拉特·桑达和其他人、刘伦特·阿姆萨勒格和科迪莉亚·施密德。用于网络规模图像搜索的GIST描述符的评估。在2009年的CIVR中。5[12] Ian J Goodfellow,Jonathon Shlens,Christian Szegedy.解释和利用对抗性的例子。2015年,国际会议。2[13] Kaiming He,Xiangyu Zhang,Shaoying Ren,and JianSun.用于图像识别的深度残差学习。在CVPR,2016年。5[14] 她的v eJ e'gou,MatthijsDouze和CordeliaSchmid。Ham-ming嵌入和弱几何一致性在大规模图像搜索中的应用。ECCV,2008年。5[15] Yannis Kalantidis Clayton Mellina和Simon Osindero。聚合深度卷积特征的跨维加权。在ECCVW,2016年。3[16] 迪德里克·金马和吉米·巴。Adam:随机最佳化的方法。2015年,国际会议。2[17] 亚历克斯·克里热夫斯基、伊利亚·萨茨克弗和杰弗里·E·辛顿。使用深度卷积神经网络的图像网分类。InNeurIPS,2012. 5[18] Alexey Kurakin,Ian Goodfellow,and Samy Bengio.物理世界中的对抗性例子。ICLRW,2017年。2[19] Jie Li,Rongrong Ji,Hong Liu,Xiaopeng Hong,YueGao,and Qi Tian.图像检索的通用扰动攻击。在arXiv,2018年。一、二、三[20] Zhuoran Liu,Zhengyu Zhao,and Martha Larson.谁会害怕对抗性的提问?图像修改对基于内容的图像检索的影响。 在arXiv,2019年。 一、二[21] 大卫·洛从尺度不变的关键点中提取独特的图像特征IJCV,2004年。2[22] Aravindh Mahendran和Andrea Vedaldi。通过反转它们来理解深度图像表示。CVPR,2015。四、七[23] Eva Mohedano,Kevin McGuinness,Noel E O'Connor,Amaia Salvador , Ferran Marques , and Xavier Giro-iNieto. 用 于 可 扩 展 实 例 搜 索 的 局 部 卷 积 特 征 包 。InICMR,2016. 3[24] Seyed-Mohsen Moosavi-Dezfooli , Alhussein Fawzi ,Omar Fawzi,and Pascal Frossard.普遍对抗性扰动。在CVPR,2017年。一、二[25] Seyed-Mohsen Moosavi-Dezfoooli , Alhussein Fawzi ,and Pascal Frossard. DeepFool:一种简单而准确的欺骗深度神经网络的方法。在CVPR,2016年。一、二[26] Hyeonwoo Noh 、 Andre Araujo 、 Jack Sim 、 TobiasWeyand和Bohyung Han。具有深层局部特征的大规模图像检索InICCV,2017. 4[27] Eng-Jon Ong、Sameed Husain和Miroslaw Bober。用于图像检索的深度向量描述符的连体网络。在arXiv,2017年。3[28] Nicolas Papernot Patrick McDaniel和Ian Goodfellow机器学习中的可转移性:从现象到使用对抗样本的黑盒攻击。在arXiv,2016。2[29] Nicolas Papernot、Patrick McDaniel、Ian Goodfellow、Somesh Jha、Z Berkay Celik和Ananthram Swami。针对机器学习的实际黑盒攻击在ASIACCS,2017年。2[30] FilipRadenovic´ 、 AhmetIscen 、 GiorgosTolias 、YannisAvritis和Ondˇrej Chum。牛津和巴黎的旅行:大规模图像检索基准测试。在CVPR,2018年。5[31] FilipRaden o v ic´、Gio r gosTolias和
我的内容管理
展开
