文章图片
用来限制生成的对抗噪声满足
文章图片
。
文章图片
结果讨论与分析
为了探究时序平移攻击方法的性能 , 研究人员在 UCF-101 和 Kinetics-400 两个数据集 , Non-local , SlowFast , TPN 三种不同结构的视频模型中进行对比实验 , 其中视频模型分别使用 3D Resnet-50 和 3D Resnet-101 作为 backbone 。 当使用某一种结构的视频模型作为白盒模型时 , 计算所生成对抗样本在其他结构的视频模型上的攻击成功率(Attack success rate , ASR) , 以此作为评价指标 。
研究人员分别在单步攻击和迭代攻击方法下进行了实验对比 。 可以看出时序平移攻击方法在单步攻击和迭代攻击下都能取得更高的 ASR , 表明所生成的对抗样本具有高迁移性 。 此外 , 在视频模型上 , 单步攻击的效果好于迭代攻击 。 这说明 , 在图像模型中发展出的迁移攻击方法不适用于更复杂的视频模型 。 最后 , 当使用 TPN 模型作为白盒模型时 , 时序平移攻击方法的性能提升较为有限 , 研究人员通过分析后认为 TPN 模型对于时序移动更加不敏感 。
文章图片
视频识别模型上的 ASR 对比图
下表展示了与 Translation-invariant(TI)攻击方法、Attention-guided(ATA)攻击方法和 Momentum iterative(MI)攻击方法相结合后的性能比较 。 可以看出 , 时序平移方法可以辅助这些方法发挥更好的性能 , 起到补充的作用 。
文章图片
结合现有方法的平均 ASR 结果对比
此外 , 研究人员还针对不同的平移长度L、权重w_i生成策略及平移策略进行了消融实验 。
平移长度L决定了有多少个平移后的视频输入被用来进行特征聚合 。 当L=0时 , 时序平移方法将会退化为最基本的迭代攻击方法 。 因此 , 针对平移长度的研究是十分有必要的 。 下图展示了不同平移长度下时序平移攻击方法在不同黑盒模型下的 ASR 变化情况 。 可以看到 , Non-local Resnet-50 模型的曲线更加稳定 , 而其他黑盒模型的曲线呈现先上升再趋于稳定的特点 。 这是因为 Non-local Resnet-50 与 Non-local Resnet-101 共享相似的模型结构 。 为了平衡 ASR 和计算复杂度 , 研究人员最终选取L=7来进行实验 。
文章图片
不同平移长度下的时序平移攻击方法性能对比
推荐阅读
- 平板|MIUI 13推出无字模式,内测机型名单公布
- 模式|荣耀60和iQOO Neo5S,全面对比告诉你谁更值得买
- 商汤|商汤终成AI第一股:挂牌联交所后股价高开 业内人士更关注其盈利和商业模式
- 数据|天问一号火星离子与中性粒子分析仪首个成果面世
- 材料|真我 GT2 Pro 预热:50MP 舰双主摄、realme 首个显微镜镜头
- 疫苗|国内首个自主研发四价流脑疫苗正式获批
- Xiaomi|小米公布小米12基于Android 12的全系内核源码
- 画质|AMD RSR 分辨率缩放技术曝光:基于 FSR,无需游戏适配即可使用
- 启发|小米 MIUI 13 无字模式开启内测,去除桌面应用名称显示
- 样本|国内首个在库运行超百万份生物样本全自动化库落户广州