开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第34天,点击查看活动详情
论文--[1] X Wang, Li S , Liu M , et al. Multi-Expert Adversarial Attack Detection in Person Re-identification Using Context Inconsistency[J]. In ICCV, 2021.
摘要
ReID系统继承了dnn对视觉上不明显的敌对扰动的恶意攻击的漏洞。因此,对对抗攻击的检测是鲁棒ReID系统的基本要求。在本文中,我们提出了一种多专家对抗攻击检测(MEAAD)方法,通过检查上下文的不一致性来实现这一目标,该方法适用于任何基于dnn的ReID系统。具体来说,三种上下文不一致性造成对抗性的攻击是用来学习的探测器区分摄动的例子,例如, a) 受干扰的查询人图像与其top-K检索之间的嵌入距离通常比良性查询图像与其top-K检索之间的嵌入距离大,b)扰动查询图像的top-K检索嵌入距离大于良性查询图像的top-K检索嵌入距离;c)使用多个专家ReID模型获得的良性查询图像的top-K检索趋于一致,在存在攻击时无法保持一致性。在Market1501和DukeMTMC-ReID数据集上的大量实验表明,作为ReID的第一种对抗攻击检测方法,MEAAD能够有效地检测各种对抗攻击,并实现较高的ROC-AUC(超过97.5%)。
贡献
l 提出了第一个对抗性攻击检测策略
l 实证研究对抗性攻击带来的副作用,即检索结果上下文不一致。然后提出了MEAAD,它的目的是通过检查查询样本的上下文不一致来检测对抗攻击
方法
1. Th reat model****
攻击者的目标是使目标ReID系统检索到错误身份的行人图像。攻击者通过干扰查询图像对目标ReID发起攻击,不会污染到图库图像。
2. 上下文不一致的实证研究
将ReID系统返回的top-K检索定义为支持集,其中的每一次检索都定义为支持样本。将良性查询样本的支持集称为良性支持集,而将受干扰的查询样本的支持集称为对抗支持集。实证研究采用2000个良性查询样本和2000个使用Deep Mis-Ranking攻击获得的扰动查询样本,每个查询的top-15检索结果作为支持集。在实证研究中使用了两个行人重识别系统(LSRO[53]和AlignedReID[48]),将每个系统称为专家模型。
查询支持关系 (Q uery-Support Relation ) 。验证了查询图像和支持集两者之间的嵌入特征相似性,反映了相同的趋势,结果如图2(a)所示。将查询支持关系定义为查询样本的嵌入特征与支持样本的嵌入特征之间的余弦相似度的平均值。与良性查询样本相比,受扰动的查询在嵌入空间中与其支持样本的相似性通常较低。这意味着可以通过查询支持关系来区分良性和攻击。
支持-支持关系( Support-Support R elation ) 。 在良性支持集中检索到的图像往往彼此相似,验证支持样本之间的嵌入特征相似性是否反映了相同的趋势,结果如图2(b)所示。将支持-支持关系定义为每个查询图像支持样本嵌入特征之间余弦相似度的平均值。与良性支持样本相比,对抗支持样本在嵌入空间中彼此的相似性较低。这意味着我们可以通过支持-支持关系来区分良性和攻击。
跨 专家关系 (Cross -E x pert Relation ) 。不同专家模型返回的良性支持集存在很大的重叠。使用所有专家模型返回的公共支持样本数量来描述跨专家关系。从图2(c)可以看出,对于良性查询样本,不同的专家模型往往会返回相同的检索结果,这说明Cross-Expert Relation可以用来区分良性查询和攻击查询。
3. 多专家对抗攻击检测
上下文特征。查询图像I,N个专家模型,第i个专家模型的top-K检索形成支持集
。每个模型学习一个从图像空间到其潜在特征嵌入空间的映射。因此,查询图像I在第i个专家模型的嵌入特征可以表示为
,这些专家模型的异构性为每个查询示例提供了多视图信息。
