arXiv reaDer
Query Attack via Opposite-Direction Feature:Towards Robust Image Retrieval
敵対的なサンプルの既存の作品のほとんどは、画像認識モデルの攻撃に焦点を合わせていますが、画像検索タスクにはほとんど注意が払われていません。この論文では、一般的な画像認識攻撃方法を画像検索に適用する際の2つの固有の課題を特定します。まず、画像検索には識別可能な視覚的特徴が必要です。これは、画像認識におけるワンホットクラス予測とは大きく異なります。第2に、画像検索のトレーニングセットとテストセットの間のクラスが互いに素で潜在的に無関係であるため、事前定義されたトレーニングクラスからクエリカテゴリを予測することは正確ではなく、最適ではない敵対的な勾配につながります。これらの制限に対処するために、敵対的なクエリを生成するための新しいホワイトボックス攻撃アプローチである反対方向機能攻撃(ODFA)を提案します。反対方向の特徴攻撃(ODFA)は、特徴レベルの敵対的な勾配を効果的に活用し、表現空間の特徴距離を利用します。私たちの知る限り、私たちは画像検索専用の攻撃方法を設計する初期の試みの1つです。攻撃された画像をクエリとして展開すると、真の一致は低いランクを受け取る傾向があります。広範な実験を通じて、(1)最先端の検索システムをだますには、敵対的なクエリを作成するだけで十分であることを示します。 (2)提案された攻撃方法であるODFAは、分類攻撃方法よりも攻撃成功率が高く、画像検索の特性を活用する必要性を検証します。 (3)私たちの方法によって生成された敵対的なクエリは、それらのパラメータ、つまりブラックボックス設定にアクセスすることなく、他の検索モデルへの良好な転送可能性を持っています。
Most existing works of adversarial samples focus on attacking image recognition models, while little attention is paid to the image retrieval task. In this paper, we identify two inherent challenges in applying prevailing image recognition attack methods to image retrieval. First, image retrieval demands discriminative visual features, which is significantly different from the one-hot class prediction in image recognition. Second, due to the disjoint and potentially unrelated classes between the training and test set in image retrieval, predicting the query category from predefined training classes is not accurate and leads to a sub-optimal adversarial gradient. To address these limitations, we propose a new white-box attack approach, Opposite-Direction Feature Attack (ODFA), to generate adversarial queries. Opposite-Direction Feature Attack (ODFA) effectively exploits feature-level adversarial gradients and takes advantage of feature distance in the representation space. To our knowledge, we are among the early attempts to design an attack method specifically for image retrieval. When we deploy an attacked image as the query, the true matches are prone to receive low ranks. We demonstrate through extensive experiments that (1) only crafting adversarial queries is sufficient to fool the state-of-the-art retrieval systems; (2) the proposed attack method, ODFA, leads to a higher attack success rate than classification attack methods, validating the necessity of leveraging characteristics of image retrieval; (3) the adversarial queries generated by our method have good transferability to other retrieval models without accessing their parameters, i.e.,the black-box setting.
updated: Tue Oct 20 2020 04:04:01 GMT+0000 (UTC)
published: Fri Sep 07 2018 21:29:32 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)アソシエイト