arXiv reaDer
ブラックボックス攻撃によるスケルトンベースの人間活動認識の脆弱性の理解
Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack
ヒューマン アクティビティ レコグニション (HAR) は、自動運転車など、安全と命が危険にさらされる幅広いアプリケーションで採用されています。最近、既存のスケルトンベースの HAR メソッドの堅牢性は、敵対的攻撃に対する脆弱性のために疑問視されており、影響の規模を考慮すると懸念が生じています。ただし、提案された攻撃には、攻撃対象の分類子の完全な知識が必要であり、これは過度に制限的です。このホワイト ペーパーでは、攻撃者がモデルの入出力にしかアクセスできない場合でも、そのような脅威が実際に存在することを示します。この目的のために、BASAR と呼ばれるスケルトンベースの HAR における最初のブラックボックスの敵対的攻撃アプローチを提案します。 BASAR は、分類境界と自然運動多様体との間の相互作用を調査します。私たちの知る限りでは、時系列に対する敵対的攻撃にデータ多様体が導入されたのはこれが初めてです。 BASAR を介して、敵対的サンプルは多様体外にのみ存在するという一般的な信念とは対照的に、多様体上の敵対的サンプルは非常に欺瞞的であり、骨格の動きではかなり一般的であることがわかりました。徹底的な評価を通じて、BASAR が分類子、データセット、および攻撃モード全体で攻撃を成功させることができることを示します。攻撃によって、BASAR はモデルの脆弱性の潜在的な原因を特定するのに役立ち、可能な改善に関する洞察を提供します。最後に、新たに特定された脅威を軽減するために、混合多様体ベースの敵対的トレーニング (MMAT) と呼ばれる、多様体に基づく敵対的サンプルの洗練された分布を活用することにより、新しい敵対的トレーニングアプローチを提案します。 MMAT は、分類の精度を損なうことなく、敵対的な攻撃を防御するのに役立ちます。
Human Activity Recognition (HAR) has been employed in a wide range of applications, e.g. self-driving cars, where safety and lives are at stake. Recently, the robustness of existing skeleton-based HAR methods has been questioned due to their vulnerability to adversarial attacks, which causes concerns considering the scale of the implication. However, the proposed attacks require the full-knowledge of the attacked classifier, which is overly restrictive. In this paper, we show such threats indeed exist, even when the attacker only has access to the input/output of the model. To this end, we propose the very first black-box adversarial attack approach in skeleton-based HAR called BASAR. BASAR explores the interplay between the classification boundary and the natural motion manifold. To our best knowledge, this is the first time data manifold is introduced in adversarial attacks on time series. Via BASAR, we find on-manifold adversarial samples are extremely deceitful and rather common in skeletal motions, in contrast to the common belief that adversarial samples only exist off-manifold. Through exhaustive evaluation, we show that BASAR can deliver successful attacks across classifiers, datasets, and attack modes. By attack, BASAR helps identify the potential causes of the model vulnerability and provides insights on possible improvements. Finally, to mitigate the newly identified threat, we propose a new adversarial training approach by leveraging the sophisticated distributions of on/off-manifold adversarial samples, called mixed manifold-based adversarial training (MMAT). MMAT can successfully help defend against adversarial attacks without compromising classification accuracy.
updated: Mon Nov 21 2022 09:51:28 GMT+0000 (UTC)
published: Mon Nov 21 2022 09:51:28 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト