arXiv reaDer
advPattern: Physical-World Attacks on Deep Person Re-Identification via Adversarially Transformable Patterns
  人物の再識別(re-ID)は、カメラビュー全体で人物の画像を照合するタスクであり、監視およびセキュリティアプリケーションで重要な役割を果たします。ディープラーニングの大きな進歩に触発されて、ディープre-IDモデルが人気を博し、最先端のパフォーマンスを獲得しました。ただし、最近の研究では、ディープニューラルネットワーク(DNN)は敵対的な例に対して脆弱であり、DNNベースのアプリケーションに潜在的な脅威をもたらすことがわかりました。この現象は、深いre-IDベースのシステムが敵対攻撃に対して脆弱かどうかについて深刻な疑問を投げかけます。このホワイトペーパーでは、ディープre-IDに対する堅牢な物理世界攻撃を実装する最初の試みを行います。 advPatternと呼ばれる新しい攻撃アルゴリズムを提案します。これは、服の敵対パターンを生成するもので、カメラ間の画像ペアのバリエーションを学習して、同じカメラの画像の特徴を近づけ、同時に異なるカメラの特徴を押し出します。敵が巧妙に作成された「見えないマント」を身に着けることで、人の検索を回避したり、ターゲットの人になりすまして、現実世界の深いIDモデルをだますことができます。 Market1501と確立されたPRCSデータセットを使用して、攻撃者の衣服に対する変換可能なパターンの有効性を評価します。実験結果は、回避攻撃の下で、敵を照合するためのre-IDモデルのランク1の精度が87.9%から27.1%に低下することを示しています。さらに、攻撃者は、偽装攻撃の下で47.1%のランク1の精度と67.9%のmAPで対象者になりすますことができます。この結果は、深いre-IDシステムが物理攻撃に対して脆弱であることを示しています。
Person re-identification (re-ID) is the task of matching person images across camera views, which plays an important role in surveillance and security applications. Inspired by great progress of deep learning, deep re-ID models began to be popular and gained state-of-the-art performance. However, recent works found that deep neural networks (DNNs) are vulnerable to adversarial examples, posing potential threats to DNNs based applications. This phenomenon throws a serious question about whether deep re-ID based systems are vulnerable to adversarial attacks. In this paper, we take the first attempt to implement robust physical-world attacks against deep re-ID. We propose a novel attack algorithm, called advPattern, for generating adversarial patterns on clothes, which learns the variations of image pairs across cameras to pull closer the image features from the same camera, while pushing features from different cameras farther. By wearing our crafted "invisible cloak", an adversary can evade person search, or impersonate a target person to fool deep re-ID models in physical world. We evaluate the effectiveness of our transformable patterns on adversaries'clothes with Market1501 and our established PRCS dataset. The experimental results show that the rank-1 accuracy of re-ID models for matching the adversary decreases from 87.9% to 27.1% under Evading Attack. Furthermore, the adversary can impersonate a target person with 47.1% rank-1 accuracy and 67.9% mAP under Impersonation Attack. The results demonstrate that deep re-ID systems are vulnerable to our physical attacks.
updated: Fri Oct 25 2019 13:52:10 GMT+0000 (UTC)
published: Sun Aug 25 2019 13:33:35 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)アソシエイト