2025-11-12T14:07:10.510276

Structured Universal Adversarial Attacks on Object Detection for Video Sequences

Jacob, Shao, Kasneci
Video-based object detection plays a vital role in safety-critical applications. While deep learning-based object detectors have achieved impressive performance, they remain vulnerable to adversarial attacks, particularly those involving universal perturbations. In this work, we propose a minimally distorted universal adversarial attack tailored for video object detection, which leverages nuclear norm regularization to promote structured perturbations concentrated in the background. To optimize this formulation efficiently, we employ an adaptive, optimistic exponentiated gradient method that enhances both scalability and convergence. Our results demonstrate that the proposed attack outperforms both low-rank projected gradient descent and Frank-Wolfe based attacks in effectiveness while maintaining high stealthiness. All code and data are publicly available at https://github.com/jsve96/AO-Exp-Attack.
academic

Strukturierte universelle adversarische Angriffe auf Objekterkennung in Videosequenzen

Grundinformationen

  • Paper-ID: 2510.14460
  • Titel: Structured Universal Adversarial Attacks on Object Detection for Video Sequences
  • Autoren: Sven Jacob (BAuA & TUM), Weijia Shao (BAuA), Gjergji Kasneci (TUM)
  • Klassifizierung: cs.CV (Computer Vision)
  • Veröffentlichungsdatum: 16. Oktober 2025 (arXiv-Preprint)
  • Paper-Link: https://arxiv.org/abs/2510.14460v1

Zusammenfassung

Die Videoobjekterkennung spielt eine wichtige Rolle in sicherheitskritischen Anwendungen. Obwohl tiefenlernbasierte Objekterkennungsmodelle beeindruckende Leistungen erzielen, bleiben sie anfällig für adversarische Angriffe, insbesondere solche mit universellen Störungen. Dieser Artikel präsentiert eine Methode für minimale Verzerrung universeller adversarischer Angriffe auf die Videoobjekterkennung, die Kernnorm-Regularisierung nutzt, um strukturierte Störungen im Hintergrund zu fördern. Zur effizienten Optimierung dieser Formulierung wird eine adaptive optimistische exponentielle Gradientenmethode eingesetzt, die Skalierbarkeit und Konvergenz verbessert. Experimentelle Ergebnisse zeigen, dass die vorgeschlagene Angriffsmethode Niedrigrang-Projektionsgradientenabstieg und Frank-Wolfe-Angriffe übertrifft und gleichzeitig hohe Unauffälligkeit bewahrt.

Forschungshintergrund und Motivation

Problemdefinition

Diese Forschung befasst sich mit adversarischen Angriffen auf Videoobjekterkennungssysteme, insbesondere mit Anfälligkeitsproblemen in sicherheitskritischen Anwendungsszenarien.

Bedeutungsanalyse

  1. Sicherheitskritikalität: Videoobjekterkennung wird häufig in sicherheitskritischen Bereichen wie autonomem Fahren, industrieller Sicherheitsüberwachung und Echtzeitüberwachung eingesetzt
  2. Reale Bedrohungen: Adversarische Angriffe können zum Ausfall von Erkennungssystemen führen und schwerwiegende Sicherheitsunfälle verursachen
  3. Universalitätsprobleme: Universelle adversarische Störungen (UAP) stellen eine stärkere Bedrohung dar, da sie framübergreifend übertragen werden können, ohne weiteren Zugriff auf das Zielmodell zu benötigen

Einschränkungen bestehender Methoden

  1. Normenbeschränkungen: Bestehende Methoden konzentrieren sich hauptsächlich auf ℓ₂- und ℓ∞-Normenbeschränkungen
  2. Visuelle Wahrnehmbarkeit: ℓ₁-Angriffe erzeugen in Videos sichtbare Flecken auf beweglichen Objekten und verringern die Unauffälligkeit
  3. Fehlende zeitliche Konsistenz: Die unabhängige Verarbeitung einzelner Frames ignoriert die zeitliche Kohärenz von Videodaten

Forschungsmotivation

Basierend auf robuster Hauptkomponentenanalyse und strukturierten adversarischen Störungsmethoden wird eine neue Strategie vorgeschlagen, die strukturierte, aber unauffällige Hintergrundmodifikationen nutzt, um Zielausfallsangriffe zu realisieren.

Kernbeiträge

  1. Neuartige Angriffsformulierung: Vorschlag einer minimalen Verzerrung universeller Angriffsformulierung basierend auf Kernnorm-Regularisierung, die strukturierte Störungen in orthogonalen Raummustern zwischen Videoframes fördert
  2. Effiziente Optimierungsalgorithmen: Anpassung der adaptiven optimistischen exponentiellen Gradientenabstiegsmethode zur skalierbaren Optimierung unter Kernnorm-Beschränkungen
  3. Umfassende experimentelle Bewertung: Umfassende Bewertung auf öffentlichen Videodatensätzen und modernsten Videoobjekterkennungsmodellen
  4. Leistungsvorteil: Überlegene Leistung bei Angriffsquote und Recheneffizienz im Vergleich zu bestehenden Kernnorm-Angriffsmethoden

Methodische Details

Aufgabendefinition

Gegeben eine Videoframe-Sequenz {xb1bB}\{x_b|1 \leq b \leq B\}, besteht das Ziel darin, eine universelle adversarische Störung δ\delta zu finden, die nach Anwendung auf alle Frames den Objekterkennungsdetektor ff außer Funktion setzt, während die Störung minimiert und strukturiert bleibt.

Modellarchitektur

Verlustfunktionsdesign

Die Verlustfunktion wird in Vordergrund- und Hintergrundverlust zerlegt: L=Lfg+LbgL = L_{fg} + L_{bg}

Wobei:

  • Vordergrundverlust: Lfg=1FiFCE(pi,yi)L_{fg} = \frac{1}{|F|}\sum_{i \in F} CE(p_i, y_i)
  • Hintergrundverlust: Lbg=1BiBCE(pi,yi)L_{bg} = \frac{1}{|B|}\sum_{i \in B} CE(p_i, y_i)
  • Konfidenzverlustverlust: Lconf=i[S]ξi1(ξi>τ)L_{conf} = \sum_{i \in [S]} \xi_i \cdot \mathbf{1}(\xi_i > \tau)

Der Gesamtverlust ist: Ltotal=αLfg+γLconf+βLbgL_{total} = \alpha L_{fg} + \gamma L_{conf} + \beta L_{bg}

Regularisierungsdesign

Kombination von Frobenius-Norm und Kernorm: R(δ)=λ1δ+λ2δFR(\delta) = \lambda_1 ||\delta||_* + \lambda_2 ||\delta||_F

Optimierungsziel

Das vollständige Optimierungsproblem für universelle Angriffe: minδRH×W×C1Bb=1BLtotal(f(xb+δ),f(xb))+c=1C(λ1δc+λ22δcF2)\min_{\delta \in \mathbb{R}^{H \times W \times C}} -\frac{1}{B}\sum_{b=1}^{B} L_{total}(f(x_b + \delta), f(x_b)) + \sum_{c=1}^{C}(\lambda_1||\delta_c||_* + \frac{\lambda_2}{2}||\delta_c||_F^2)

AO-Exp-Algorithmus

Kernidee

Verwendung der adaptiven optimistischen exponentiellen Gradientenmethode, wobei Entscheidungsvariablen durch SVD-Zerlegung verwaltet werden: δct=Uc,tdiag(zct)Vc,tT\delta_c^t = U_{c,t} \text{diag}(z_c^t) V_{c,t}^T

Algorithmusschritte

  1. Optimistische Aktualisierung: ηctηct1+t2G(δct)G(δct1)2\eta_c^t \leftarrow \eta_c^{t-1} + \frac{t^2}{||\nabla G(\delta_c^t) - \nabla G(\delta_c^{t-1})||_\infty^2}
  2. Singulärwertaktualisierung: zc,it+1=ηctλ2W0(λ2ηctexp(λ2+max{θc,itλ1,0}ηt))1z_{c,i}^{t+1} = \frac{\eta_c^t}{\lambda_2} W_0\left(\frac{\lambda_2}{\eta_c^t} \exp\left(\frac{\lambda_2 + \max\{\theta_{c,i}^t - \lambda_1, 0\}}{\eta_t}\right)\right) - 1
  3. Störungsrekonstruktion: δct+1=2t(t+1)s=1tsUc,tdiag(zs,1:kc)Vc,tT\delta_c^{t+1} = \frac{2}{t(t+1)} \sum_{s=1}^{t} s \cdot U_{c,t} \text{diag}(z_{s,1:k}^c) V_{c,t}^T

Technische Innovationspunkte

  1. Strukturierte Hintergrundstörung: Kernorm-Regularisierung fördert Niedrigrangstrukturen, konzentriert auf Hintergrundregionen
  2. Zeitliche Konsistenz: Universelle Störung gewährleistet zeitliche Konsistenz über Frames hinweg
  3. Effiziente Optimierung: AO-Exp-Methode erreicht schnelle Konvergenz unter Kernorm-Beschränkungen
  4. Niedrigranganpassung: Weitere Informationskompression durch Auswahl der Top-k-Singulärwerte

Experimentelle Einrichtung

Datensätze

  1. PETS 2009 S2L1: 7 Szenen, 768×576 Auflösung, durchschnittlich 795 Frames/Szene
  2. EPFL-RLC: 3 Szenen, 1920×1080 Auflösung, durchschnittlich 5000 Frames/Szene
  3. CW4C: 15 Szenen, 1920×880 Auflösung, durchschnittlich 7200 Frames/Szene

Bewertungsmetriken

  1. IoU-Akkumulation (IoUacc): Bewertet die Auswirkung des Angriffs auf die gesamte Sequenz
  2. Adversarisches Begrenzungsrahmen-Verhältnis (advBR): Verhältnis der Begrenzungsrahmen zwischen adversarischen und sauberen Proben
  3. Durchschnittliche absolute Störung (MAP): Misst die Wahrnehmbarkeit
  4. Kernorm δ||\delta||_*: Bewertet den Strukturierungsgrad der Störung

Vergleichsmethoden

  1. LoRa-PGD: Niedrigrang-Projektionsgradientenabstiegsangriff
  2. FW-Nucl: Frank-Wolfe-Kernorm-Gruppenangriff
  3. AO-Exp-Varianten: Einschließlich Niedrigranganpassungsversion

Implementierungsdetails

  • Iterationen: 100 (AO-Exp und LoRa-PGD), 30 (FW-Nucl)
  • Regularisierungsparameter: λ₁ und λ₂ je nach Datensatz angepasst
  • Zielmodell: Mask R-CNN

Experimentelle Ergebnisse

Hauptergebnisse

DatensatzMethodeIoUacc(↓)advBR(↓)MAP(↓)δ\|\|\delta\|\|_*(↓)
PETS2009FW-Nucl4,77±1,091,04±0,251,2±0,336,5±5,84
LoRa-PGD-1001,22±0,910,63±0,424,0±0,360,3±10,3
AO-Exp0,29±0,270,06±0,042,9±0,141,3±16,6
EPFL-RLCFW-Nucl4,83±0,960,86±0,145,4±2,037,54±1,53
LoRa-PGD-1000,20±0,060,37±0,1114,0±3,043,5±4,3
AO-Exp0,9±0,370,22±0,076,0±4,027,52±15,8

Wichtigste Erkenntnisse

  1. Angriffseffektivität: AO-Exp erreicht auf allen Datensätzen die niedrigsten IoUacc- und advBR-Werte
  2. Unauffälligkeit: MAP-Metriken zeigen, dass AO-Exp gute visuelle Unauffälligkeit bewahrt
  3. Strukturierungsgrad: Kernorm-Ergebnisse zeigen, dass AO-Exp strukturiertere Störungen erzeugt

Ablationsstudien

  1. Auswirkung der Singulärwertanzahl: Analyse der Auswirkung verschiedener k-Werte auf advBR für verschiedene Kameraperspektiven im EPFL-Datensatz
  2. Niedrigranganpassungseffekt: AO-Exp (LoRa)-Version reduziert die Kernorm erheblich und behält vergleichbare Leistung

Visuelle Analyse

  • ℓ₁-Angriffe erzeugen Flimmerrauschen, das beweglichen Objekten folgt
  • Kernorm-Angriffe erzeugen strukturiertere räumlich kohärente Störungen, hauptsächlich im Hintergrund konzentriert

Verwandte Arbeiten

Aktueller Stand der Adversarischen Angriffsforschung

  1. Bildklassifizierungsangriffe: Relativ reife Forschung mit vielfältigen Methoden
  2. Objekterkennungsangriffe: Relativ selten, besonders in Videoszenarien
  3. Universelle adversarische Störungen: Eingabeunabhängig, einheitlich über Eingaben angewendet

Niedrigrangstrukturforschung

  1. Mannigfaltigkeitshypothese: Hochdimensionale Daten neigen dazu, in der Nähe von niedrigdimensionalen Mannigfaltigkeiten zu existieren
  2. Dimensionalitätsreduktionsmethoden: PCA, UMAP, Autoencoder usw.
  3. Adversarische Anwendungen: Anwendung von Kernorm-Regularisierung in adversarischen Angriffen

Vorteile dieses Papiers

  1. Zeitliche Konsistenz: Berücksichtigung der zeitlichen Eigenschaften von Videodaten
  2. Strukturiertes Design: Nutzung von Kernorm zur Förderung strukturierter Hintergrundstörungen
  3. Effiziente Optimierung: AO-Exp-Methode verbessert Recheneffizienz

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Vorschlag einer neuartigen strukturierten universellen adversarischen Angriffsmethode für Videoobjekterkennung
  2. Kernorm-Regularisierung fördert effektiv strukturierte Störungen in Hintergrundregionen
  3. AO-Exp-Algorithmus übertrifft bestehende Methoden sowohl in Effektivität als auch Effizienz
  4. Methode unterdrückt konsistent Begrenzungsrahmen über mehrere Datensätze hinweg

Einschränkungen

  1. Statische Kamera-Annahme: Aktuelle Methode setzt statische Kameraeinrichtung voraus, was die Anwendbarkeit auf dynamische Kameraszenarien einschränkt
  2. Hyperparameter-Empfindlichkeit: Angriffsleistung ist empfindlich gegenüber der Auswahl von Kernorm-Gewichten und Frobenius-Regularisierung
  3. Rechenkomplexität: Jede Iteration erfordert SVD-Zerlegung, was die Rechenkosten erhöht

Zukünftige Richtungen

  1. Dynamische Kamera-Erweiterung: Erweiterung auf dynamische Kameraeinrichtungen
  2. Objektverfolgungsanwendungen: Erweiterung der Methode auf Objektverfolgungsaufgaben
  3. Adaptive Hyperparameter: Entwicklung adaptiver oder gelernter Hyperparameter-Strategien
  4. Abwehrmechanismen: Erforschung von Gegenmaßnahmen und Abwehrmaßnahmen gegen strukturierte zeitlich konsistente adversarische Angriffe

Tiefgreifende Bewertung

Stärken

  1. Methodische Innovativität: Erste systematische Anwendung von Kernorm-Regularisierung auf adversarische Angriffe bei Videoobjekterkennung
  2. Solide theoretische Grundlagen: Fundierte theoretische Grundlagen basierend auf robuster PCA und strukturierten Störungen
  3. Umfassende Experimente: Umfassende Bewertung über mehrere Datensätze
  4. Hoher praktischer Wert: Befasst sich mit wichtigen Problemen in sicherheitskritischen Anwendungen
  5. Open-Source-Beitrag: Code und Daten sind öffentlich verfügbar und reproduzierbar

Schwächen

  1. Einschränkungen des Anwendungsszenarios: Nur auf statische Kameraszenarien anwendbar
  2. Unzureichende Abwehrbetrachtung: Mangelnde Bewertung bestehender Abwehrmethoden
  3. Validierung in der physischen Welt: Fehlende Verifikationsexperimente in echten physischen Umgebungen
  4. Rechenkostenanalyse: Unzureichende Analyse der Rechenkosten der SVD-Zerlegung

Auswirkungen

  1. Akademischer Beitrag: Bietet neue Perspektiven für die Forschung zu adversarischen Angriffen auf Videos
  2. Sicherheitsbewusstsein: Erhöht das Bewusstsein für Anfälligkeiten von Videoobjekterkennungssystemen
  3. Methodische Inspiration: Kernorm-Regularisierung könnte andere Forschungen zu strukturierten Angriffen inspirieren

Anwendungsszenarien

  1. Sicherheitsbewertung: Robustheitsbeurteilung von industriellen Sicherheitsüberwachungssystemen
  2. Forschungswerkzeug: Benchmark-Methode für Forschung zur adversarischen Robustheit
  3. Abwehrentwicklung: Bereitstellung von Angriffsmustern für die Entwicklung gezielter Abwehrmaßnahmen

Literaturverzeichnis

Das Papier zitiert 41 relevante Arbeiten, die wichtige Arbeiten in mehreren Bereichen wie adversarische Angriffe, Objekterkennung und Videoanalyse abdecken und eine solide theoretische Grundlage für die Forschung bieten.

Gesamtbewertung: Dies ist ein hochqualitatives Papier mit wichtigen Beiträgen im Bereich adversarischer Angriffe auf Videoobjekterkennung. Die Methode ist innovativ, die experimentelle Bewertung ist umfassend, und die Arbeit hat wichtige praktische Bedeutung für sicherheitskritische Anwendungen. Trotz einiger Einschränkungen bietet sie wertvolle Erkenntnisse und zukünftige Forschungsrichtungen für die Entwicklung des Feldes.