清華新聞網(wǎng)12月13日電 近年來(lái),我國(guó)短視頻行業(yè)快速發(fā)展�,一旦視頻審核系統(tǒng)被惡意攻擊,將造成不可估量的后果�。因此,為了保護(hù)未成年人的身心健康�,防止違法暴力視頻惡意傳播,避免政治敏感糾紛�,嚴(yán)格審核用戶(hù)上傳的視頻變得尤為重要。深度神經(jīng)網(wǎng)絡(luò)容易受到對(duì)抗攻擊�,通過(guò)給圖像或視頻疊加極小擾動(dòng)就可以造成分類(lèi)系統(tǒng)的誤分類(lèi),研究視頻分類(lèi)系統(tǒng)的對(duì)抗攻擊將有助于發(fā)現(xiàn)分類(lèi)模型的脆弱性�,并成為提高模型魯棒性的重要基礎(chǔ)。
學(xué)術(shù)界當(dāng)前的對(duì)抗攻擊方法均考慮范數(shù)限制的擾動(dòng)�,而這種方式需要消耗大量的查詢(xún)次數(shù),造成攻擊過(guò)程中巨大的計(jì)算成本�,所生成的對(duì)抗樣本還會(huì)被去噪或?qū)褂?xùn)練等方法有效防御,對(duì)于提高查詢(xún)效率和抵抗防御能力的方法研究鮮少涉及�。為此,清華大學(xué)深圳國(guó)際研究生院肖喜副教授團(tuán)隊(duì)提出了一種基于風(fēng)格遷移的黑盒視頻對(duì)抗攻擊方法(StyleFool)來(lái)攻擊視頻分類(lèi)系統(tǒng)�。該方法采用語(yǔ)義不變的無(wú)限制擾動(dòng),旨在不改變視頻語(yǔ)義信息的前提下�,對(duì)抗擾動(dòng)不做范數(shù)限制。
圖1. StyleFool攻擊示意圖
傳統(tǒng)的風(fēng)格遷移基于藝術(shù)風(fēng)格�,導(dǎo)致生成的風(fēng)格化圖像與現(xiàn)實(shí)場(chǎng)景相差甚遠(yuǎn)�。為解決這一問(wèn)題�,團(tuán)隊(duì)提出了一種風(fēng)格圖像選擇方法,既能確保風(fēng)格化視頻保持高自然性�,又能使得風(fēng)格化視頻可以移動(dòng)甚至跨過(guò)決策邊界。團(tuán)隊(duì)將輸入視頻進(jìn)行視頻風(fēng)格遷移�,并利用梯度估計(jì)的方法優(yōu)化風(fēng)格化視頻,直到視頻達(dá)到誤分類(lèi)的要求�。與同類(lèi)方法相比,StyleFool能夠顯著提高攻擊的成功率并降低查詢(xún)次數(shù)�。同時(shí),在抵御視頻對(duì)抗防御方法的性能方面�,由于StyleFool考慮了前后幀間一致性約束和語(yǔ)義不變的無(wú)限制擾動(dòng),它所生成的對(duì)抗樣本可以輕松繞過(guò)先進(jìn)的視頻防御方法�。StyleFool在不改變語(yǔ)義信息的情況下產(chǎn)生無(wú)限制的擾動(dòng)�,跳出了傳統(tǒng)的范數(shù)限制攻擊的束縛,并在攻擊性能�、抵御防御性能等方面優(yōu)于現(xiàn)有對(duì)抗攻擊方法,大大降低了攻擊成本�,是對(duì)抗攻擊邁向非語(yǔ)義化的一大突破。
圖2. 攻擊結(jié)果對(duì)比
圖3. 抵御對(duì)抗防御性能結(jié)果
上述研究成果以“StyleFool:通過(guò)風(fēng)格遷移欺騙視頻分類(lèi)系統(tǒng)”(StyleFool: Fooling Video Classification Systems via Style Transfer)為題�,被CCF-AIEEE安全與隱私研討會(huì)(IEEE S&P 2023:IEEE Symposium on Security and Privacy,簡(jiǎn)稱(chēng):IEEE S&P)錄用�。
論文第一作者為清華大學(xué)深圳國(guó)際研究生院人工智能項(xiàng)目2021級(jí)碩士生曹鈺鑫,通訊作者為清華大學(xué)深圳國(guó)際研究生院肖喜副教授�。該研究成果得到了國(guó)家自然科學(xué)基金�、深圳基礎(chǔ)研究項(xiàng)目和深研院海外科研合作基金的支持�。
論文鏈接:
https://arxiv.org/abs/2203.16000
供稿:深圳國(guó)際研究生院
題圖設(shè)計(jì):李娜
編輯:李華山
審核:郭玲
