CVPR 2020 Oral | 将SOTA行人再识别系统精度降至1.4%( 四 )

协议。有关训练协议和超参数的详细信息，请参见文章。前两个小节验证了白盒攻击，即攻击器可以完全访问训练数据和目标模型。在第三小节中，我们探索了多种场景下的半黑盒攻击以检查我们方法的可迁移性和可解释性，即攻击者无法访问训练数据和目标模型。遵循文献的标准协议，如没有特殊说明，以下所有实验都是通过带有 varepsilon = 16 的 L 无穷边界攻击执行的，其中 varepsilon 是对确定攻击强度和视觉质量的噪声幅度施加的上限。
1. 攻击最新的 ReID 系统
为了证明我们方法的通用性，我们将最新的 re-ID 系统分为以下三组。
攻击不同的骨干网。我们首先检查了我们的方法在攻击不同性能最佳的网络骨干网中的有效性，包括：ResNet-50（即 IDE）， DenseNet-121} 和 Inception-v3（即 Mudeep）。结果示于表 1（a）和（b）中。我们可以看到，在被我们的方法攻击后，所有骨干网的 rank-1 准确性都急剧下降至接近零（例如，对于 DenseNet 从 89.9％降至 1.2％），这表明不同的骨干网无法防御我们的攻击。

本文插图
表 1 攻击最新的 ReID 系统
攻击基于零件的 re-ID 系统。许多性能最佳的 re-ID 系统通过考虑零件对齐方式来学习局部和全局相似性。但是，他们仍然无法捍卫我们的进攻（表 1（a）（b））。例如，性能最好的 re-ID 系统之一（AlignedReID）在受到我们方法的攻击后，其准确性从 91.8％急剧下降至 1.4％。这种比较证明了测试技巧，例如 AlignedReID 中集成的额外局部特征以及 PCB 中的翻转图像组合，都无法抵抗我们的攻击。
攻击增强型 re-ID 系统。许多最新的 re-ID 系统都使用数据增强的技巧。接下来，我们检查模型在攻击这些基于增强的系统中的有效性。与常规数据增强技巧（例如随机裁剪，翻转和 2D 翻译）不同，我们检查 GAN 这种最新的数据增加技巧的抗攻击能力。评估是在 Market1501 和 DukeMTMC 上进行的。表 1（a）和（c）中的结果表明，尽管 GAN 数据增强可以提高 rre-ID 的准确性，但它们无法防御我们的攻击。相反，我们甚至观察到，更好的 re-ID 准确性可能导致更差的鲁棒性。
讨论。对于重新考虑 re-ID 系统的耐用性以进行未来的改进，我们有三点评论。首先，到目前为止，尚无有效的方法来防御我们的攻击，例如，在我们攻击之后，所有 rank-1 的准确性都降至 3.9％以下。其次， Mudeep 和 PCB 的坚固性最强。凭直觉， Mudeep 可能会受益于其非线性和较大的感受野。对于 PCB ，在评估过程中重新处理查询图像并隐藏网络体系结构可以提高鲁棒性。第三，攻击后 HACNN 的 rank-1 精度最低，这表明注意机制可能会损害防御性。
2. 组件分析
我们进行了全面的研究，以验证我们方法的每个组成部分的有效性。 AlignedReID 在本文的其余部分中被用作我们的目标模型，因为它在 re-ID 域中具有非凡的效果。
不同的损失函数。我们报告了四种不同损失函数的 rank-1 准确性，以验证损失的有效性。结果示于表 2（a），其中四行代表：（A）常规误分类损失；（B）我们的误分类；（C）我们的误排序损失；（D）我们的误分类+误排序损失。实际上，我们观察到传统的误分类损失 A 与感知损失不兼容，从而导致较差的攻击性能（28.5％）。相比之下，我们的视觉误排序损失 D 实现了非常吸引人的攻击性能（1.4％）。我们还观察到，我们的误分类损失 B 和视觉误排序损失 C 互惠互利。具体来说，通过将这两个损失相结合，我们得到的损失 D 优于所有其他损失。