CVPR 2020 Oral | 将SOTA行人再识别系统精度降至1.4%( 六 )

跨模型攻击。跨模型攻击表示攻击器是通过攻击已知模型来学习的，但可以重新用于攻击未知模型。 Market1501 上的实验表明，现有的 re-ID 系统也受到我们的交叉模型攻击的欺骗（表 2（e））。值得一提的是， PCB 似乎比其他 PCB 更坚固，这表明隐藏测试协议有利于提高鲁棒性。
跨数据集跨模型攻击（即完全黑盒）。我们会进一步检查最具挑战性的设置，即攻击者无法访问训练数据和模型。在表 2（f）中随机选择数据集和模型。令人惊讶的是，我们已经观察到，即使在这种极端条件下，我们的方法也成功欺骗了所有 re-ID 系统。请注意， Mudeep 仅受到 4,000 像素的攻击。
讨论。对于 ReID 的未来改进，我们有以下评论。首先，尽管不同 re-ID 数据集中的数据分布偏差降低了 re-ID 系统的准确性，但这并不是造成安全漏洞的原因，正如上面的跨数据集攻击成功所证明的那样。其次，跨模型攻击的成功意味着网络漏洞应是安全漏洞的原因。第三，跨数据集跨模型攻击的成功促使我们重新考虑现有 re-ID 系统的漏洞。第三，跨数据集跨模型攻击的成功促使我们重新考虑现有 re-ID 系统的漏洞。甚至我们都不了解目标系统。我们可以使用公共可用的 re-ID 模型和数据集来学习攻击者，利用它我们可以在目标系统中执行跨数据集跨模型攻击。实际上，我们欺骗了一个真实世界的系统（见图 5）。

本文插图
表 5 与现有攻击器比较
4. 与现有攻击器的比较
为了展示我们方法的泛化能力，我们使用 CIFAR10 进行了图像分类的附加实验。我们在对抗性示例社区中将我们的方法与四种高级白盒攻击方法进行了比较，包括 DeepFool ， NewtonFool ， CW 和 GAP 。我们采用经过对抗性训练的 ResNet32 作为目标模型，并固定 varepsilon = 8 。使用与 Nicolae 等人相同的默认设置来配置其他超参数。对于每种攻击方法，我们都会在完整的 CIFAR10 验证集上列出所得网络的准确性。表 5 中的结果表明，我们提出的算法在攻击分类系统方面也有效。请注意，将 varepsilon 更改为其他数字（例如 varepsilon = 2）并不会降低我们的方法相对于竞争对手的优势。
总结
我们通过提出一种学习误排序的模型来扰乱系统输出的排名，从而检验当前 re-ID 系统的不安全性。我们基于误排序的攻击器是对现有基于误分类的攻击器的补充。我们还开发了一个多阶段网络体系结构，以提取对抗性扰动的可迁移特征，从而使我们的攻击器可以进行半黑盒攻击。通过控制被攻击像素的数量并保持视觉质量，我们专注于攻击器的不起眼之处。实验不仅显示了我们方法的有效性，而且为 re-ID 的鲁棒性的未来改进提供了方向。
参考文献 :
Hongjun Wang*, Guangrun Wang*, Ya Li, Dongyu Zhang, Liang Lin, Transferable, Controllable, and Inconspicuous Adversarial Attacks on Person Re-identification With Deep Mis-Ranking [C]. in IEEE Conference on Computer Vision and Pattern Recognition (CVPR), Seattle, Washington, USA, June 16 - 18, 2020.
Nicholas Carlini and David Wagner. Towards evaluating the robustness of neural networks. In S&P, pages 39–57. IEEE, 2017. 4, 8
Ian J. Goodfellow, Jonathon Shlens, and Christian Szegedy. Explaining and harnessing adversarial examples. CoRR, abs/1412.6572, 2014. 3
Shengyong Ding, Liang Lin, Guangrun Wang, and Hongyang Chao. Deep feature learning with relative distance comparison for person re-identification. PR, 48(10):2993– 3003, 2015. 2, 3