arXiv reaDer
Meaningful Adversarial Stickers for Face Recognition in Physical World
顔認識(FR)システムは、ディープラーニングの導入により、セーフティクリティカルな分野で広く適用されています。ただし、敵対的な例の存在は、FRシステムに潜在的なセキュリティリスクをもたらします。それらの脆弱性を特定し、堅牢性を向上させるために、この論文では、攻撃者が顔に貼り付けるステッカーのパラメータを操作する、私たちの生活に存在する意味のある実際のステッカーを使用することにより、物理的に実行可能で簡単に実装できる攻撃方法である意味のある敵対ステッカーを提案します、摂動パターンを設計してから、ほとんどの既存の作品のようにそれらを印刷する代わりに。私たちは、より挑戦的で実用的な限られた情報でブラックボックス設定で攻撃を行います。ステッカーの貼り付け位置、回転角、その他のパラメータを効果的に解決するために、効果的なソリューションの地域集約に基づく近親交配戦略と評価基準の適応調整戦略を利用する地域ベースのヒューリスティック差分アルゴリズムを設計します。 LFWとCelebAを含む2つの公開データセットで、FaceNet、SphereFace、CosFaceなどの3つの代表的なFRモデルを使用して広範な実験が行われ、わずか数百のクエリでそれぞれ81.78%、72.93%、79.26%の攻撃成功率を達成しています。物理的な世界での結果は、複雑な物理的条件での私たちの方法の有効性を確認します。テスターの顔の姿勢を継続的に変更する場合でも、このメソッドは時系列で最大98.46%、91.30%、および86.96%の攻撃を成功させることができます。
Face recognition (FR) systems have been widely applied in safety-critical fields with the introduction of deep learning. However, the existence of adversarial examples brings potential security risks to FR systems. To identify their vulnerability and help improve their robustness, in this paper, we propose Meaningful Adversarial Stickers, a physically feasible and easily implemented attack method by using meaningful real stickers existing in our life, where the attackers manipulate the pasting parameters of stickers on the face, instead of designing perturbation patterns and then printing them like most existing works. We conduct attacks in the black-box setting with limited information which is more challenging and practical. To effectively solve the pasting position, rotation angle, and other parameters of the stickers, we design Region based Heuristic Differential Algorithm, which utilizes the inbreeding strategy based on regional aggregation of effective solutions and the adaptive adjustment strategy of evaluation criteria. Extensive experiments are conducted on two public datasets including LFW and CelebA with respective to three representative FR models like FaceNet, SphereFace, and CosFace, achieving attack success rates of 81.78%, 72.93%, and 79.26% respectively with only hundreds of queries. The results in the physical world confirm the effectiveness of our method in complex physical conditions. When continuously changing the face posture of testers, the method can still perform successful attacks up to 98.46%, 91.30% and 86.96% in the time series.
updated: Wed Apr 14 2021 09:32:01 GMT+0000 (UTC)
published: Wed Apr 14 2021 09:32:01 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)アソシエイト