2025-11-12T14:07:10.510276

Structured Universal Adversarial Attacks on Object Detection for Video Sequences

Jacob, Shao, Kasneci
Video-based object detection plays a vital role in safety-critical applications. While deep learning-based object detectors have achieved impressive performance, they remain vulnerable to adversarial attacks, particularly those involving universal perturbations. In this work, we propose a minimally distorted universal adversarial attack tailored for video object detection, which leverages nuclear norm regularization to promote structured perturbations concentrated in the background. To optimize this formulation efficiently, we employ an adaptive, optimistic exponentiated gradient method that enhances both scalability and convergence. Our results demonstrate that the proposed attack outperforms both low-rank projected gradient descent and Frank-Wolfe based attacks in effectiveness while maintaining high stealthiness. All code and data are publicly available at https://github.com/jsve96/AO-Exp-Attack.
academic

Ataques Adversariales Universales Estructurados en Detección de Objetos para Secuencias de Video

Información Básica

  • ID del Artículo: 2510.14460
  • Título: Structured Universal Adversarial Attacks on Object Detection for Video Sequences
  • Autores: Sven Jacob (BAuA & TUM), Weijia Shao (BAuA), Gjergji Kasneci (TUM)
  • Clasificación: cs.CV (Visión por Computadora)
  • Fecha de Publicación: 16 de octubre de 2025 (preimpresión arXiv)
  • Enlace del Artículo: https://arxiv.org/abs/2510.14460v1

Resumen

La detección de objetos en video desempeña un papel crucial en aplicaciones críticas para la seguridad. Aunque los detectores de objetos basados en aprendizaje profundo han logrado un desempeño impresionante, siguen siendo vulnerables a ataques adversariales, particularmente aquellos que implican perturbaciones universales. Este artículo propone un método de ataque adversarial universal de mínima distorsión dirigido a la detección de objetos en video, utilizando regularización de norma nuclear para promover perturbaciones estructuradas concentradas en el fondo. Para optimizar eficientemente esta formulación, se adopta el método de gradiente exponencial optimista adaptativo, mejorando la escalabilidad y convergencia. Los resultados experimentales demuestran que el método de ataque propuesto supera al descenso de gradiente proyectado de bajo rango y los ataques de Frank-Wolfe, manteniendo una alta imperceptibilidad.

Antecedentes de Investigación y Motivación

Definición del Problema

Esta investigación aborda el problema de ataques adversariales contra sistemas de detección de objetos en video, particularmente la vulnerabilidad en escenarios de aplicaciones críticas para la seguridad.

Análisis de Importancia

  1. Criticidad para la Seguridad: La detección de objetos en video se aplica ampliamente en conducción autónoma, monitoreo de seguridad industrial, vigilancia en tiempo real y otros campos críticos para la seguridad
  2. Amenazas Reales: Los ataques adversariales pueden causar fallos en los sistemas de detección, resultando en accidentes de seguridad graves
  3. Desafío de Universalidad: Las perturbaciones adversariales universales (UAP) presentan una amenaza más fuerte porque pueden transferirse entre fotogramas sin requerir acceso adicional al modelo objetivo

Limitaciones de Métodos Existentes

  1. Restricciones de Norma: Los métodos existentes se enfocaban principalmente en perturbaciones con restricciones de norma ℓ2 y ℓ∞
  2. Perceptibilidad Visual: Los ataques ℓ1 producen manchas visibles en objetos en movimiento en video, reduciendo la imperceptibilidad
  3. Falta de Consistencia Temporal: El procesamiento independiente de cada fotograma ignora la coherencia temporal de los datos de video

Motivación de la Investigación

Basándose en análisis de componentes principales robustos y métodos de perturbación adversarial estructurada, se propone una nueva estrategia que utiliza modificaciones de fondo estructuradas pero no sospechosas para lograr ataques de desaparición de objetivos.

Contribuciones Principales

  1. Formulación de Ataque Novedosa: Se propone una formulación de ataque universal de mínima distorsión basada en regularización de norma nuclear, promoviendo perturbaciones estructuradas en patrones de espacio ortogonal entre fotogramas de video
  2. Algoritmo de Optimización Eficiente: Se adapta el método de descenso de gradiente exponencial optimista adaptativo para lograr optimización escalable bajo restricciones de norma nuclear
  3. Evaluación Experimental Integral: Se realiza una evaluación exhaustiva en conjuntos de datos de video públicos y modelos de detección de objetos en video de última generación
  4. Ventajas de Desempeño: En comparación con métodos de ataque de norma nuclear existentes, demuestra mejor tasa de éxito de ataque y eficiencia computacional

Explicación Detallada del Método

Definición de la Tarea

Dada una secuencia de fotogramas de video {xb1bB}\{x_b|1 \leq b \leq B\}, el objetivo es encontrar una perturbación adversarial universal δ\delta que, cuando se aplica a todos los fotogramas, pueda hacer fallar el detector de objetos ff, mientras se mantiene la minimización y estructuración de la perturbación.

Arquitectura del Modelo

Diseño de la Función de Pérdida

Se descompone la función de pérdida en pérdida de primer plano y fondo: L=Lfg+LbgL = L_{fg} + L_{bg}

Donde:

  • Pérdida de Primer Plano: Lfg=1FiFCE(pi,yi)L_{fg} = \frac{1}{|F|}\sum_{i \in F} CE(p_i, y_i)
  • Pérdida de Fondo: Lbg=1BiBCE(pi,yi)L_{bg} = \frac{1}{|B|}\sum_{i \in B} CE(p_i, y_i)
  • Pérdida de Confianza: Lconf=i[S]ξi1(ξi>τ)L_{conf} = \sum_{i \in [S]} \xi_i \cdot \mathbf{1}(\xi_i > \tau)

La pérdida total es: Ltotal=αLfg+γLconf+βLbgL_{total} = \alpha L_{fg} + \gamma L_{conf} + \beta L_{bg}

Diseño de Regularización

Se adopta una combinación de norma de Frobenius y norma nuclear: R(δ)=λ1δ+λ2δFR(\delta) = \lambda_1 ||\delta||_* + \lambda_2 ||\delta||_F

Objetivo de Optimización

El problema de optimización completo para ataques universales: minδRH×W×C1Bb=1BLtotal(f(xb+δ),f(xb))+c=1C(λ1δc+λ22δcF2)\min_{\delta \in \mathbb{R}^{H \times W \times C}} -\frac{1}{B}\sum_{b=1}^{B} L_{total}(f(x_b + \delta), f(x_b)) + \sum_{c=1}^{C}(\lambda_1||\delta_c||_* + \frac{\lambda_2}{2}||\delta_c||_F^2)

Algoritmo AO-Exp

Idea Principal

Se adopta el método de gradiente exponencial optimista adaptativo, manteniendo la variable de decisión mediante descomposición SVD: δct=Uc,tdiag(zct)Vc,tT\delta_c^t = U_{c,t} \text{diag}(z_c^t) V_{c,t}^T

Pasos del Algoritmo

  1. Actualización Optimista: ηctηct1+t2G(δct)G(δct1)2\eta_c^t \leftarrow \eta_c^{t-1} + \frac{t^2}{||\nabla G(\delta_c^t) - \nabla G(\delta_c^{t-1})||_\infty^2}
  2. Actualización de Valores Singulares: zc,it+1=ηctλ2W0(λ2ηctexp(λ2+max{θc,itλ1,0}ηt))1z_{c,i}^{t+1} = \frac{\eta_c^t}{\lambda_2} W_0\left(\frac{\lambda_2}{\eta_c^t} \exp\left(\frac{\lambda_2 + \max\{\theta_{c,i}^t - \lambda_1, 0\}}{\eta_t}\right)\right) - 1
  3. Reconstrucción de Perturbación: δct+1=2t(t+1)s=1tsUc,tdiag(zs,1:kc)Vc,tT\delta_c^{t+1} = \frac{2}{t(t+1)} \sum_{s=1}^{t} s \cdot U_{c,t} \text{diag}(z_{s,1:k}^c) V_{c,t}^T

Puntos de Innovación Técnica

  1. Perturbación de Fondo Estructurada: La regularización de norma nuclear promueve estructura de bajo rango, concentrada en regiones de fondo
  2. Consistencia Temporal: La perturbación universal asegura consistencia temporal entre fotogramas
  3. Optimización Eficiente: El método AO-Exp logra convergencia rápida bajo restricciones de norma nuclear
  4. Adaptación de Bajo Rango: Compresión adicional de información mediante selección de valores singulares top-k

Configuración Experimental

Conjuntos de Datos

  1. PETS 2009 S2L1: 7 escenas, resolución 768×576, promedio 795 fotogramas/escena
  2. EPFL-RLC: 3 escenas, resolución 1920×1080, promedio 5000 fotogramas/escena
  3. CW4C: 15 escenas, resolución 1920×880, promedio 7200 fotogramas/escena

Métricas de Evaluación

  1. Valor Acumulado de IoU (IoUacc): Evalúa el impacto del ataque en toda la secuencia
  2. Proporción de Cuadros Adversariales (advBR): Relación entre cuadros de muestras adversariales y limpias
  3. Perturbación Absoluta Promedio (MAP): Mide la perceptibilidad
  4. Norma Nuclear δ||\delta||_*: Evalúa el grado de estructuración de la perturbación

Métodos de Comparación

  1. LoRa-PGD: Ataque de descenso de gradiente proyectado de bajo rango
  2. FW-Nucl: Ataque de grupo de norma nuclear de Frank-Wolfe
  3. Variantes de AO-Exp: Incluyendo versión de adaptación de bajo rango

Detalles de Implementación

  • Número de iteraciones: 100 (AO-Exp y LoRa-PGD), 30 (FW-Nucl)
  • Parámetros de regularización: Ajustados según el conjunto de datos λ1 y λ2
  • Modelo objetivo: Mask R-CNN

Resultados Experimentales

Resultados Principales

Conjunto de DatosMétodoIoUacc(↓)advBR(↓)MAP(↓)δ\|\|\delta\|\|_*(↓)
PETS2009FW-Nucl4.77±1.091.04±0.251.2±0.336.5±5.84
LoRa-PGD-1001.22±0.910.63±0.424.0±0.360.3±10.3
AO-Exp0.29±0.270.06±0.042.9±0.141.3±16.6
EPFL-RLCFW-Nucl4.83±0.960.86±0.145.4±2.037.54±1.53
LoRa-PGD-1000.20±0.060.37±0.1114.0±3.043.5±4.3
AO-Exp0.9±0.370.22±0.076.0±4.027.52±15.8

Hallazgos Clave

  1. Efectividad del Ataque: AO-Exp logra los valores más bajos de IoUacc y advBR en todos los conjuntos de datos
  2. Imperceptibilidad: La métrica MAP muestra que AO-Exp mantiene buena imperceptibilidad visual
  3. Grado de Estructuración: Los resultados de norma nuclear indican que AO-Exp genera perturbaciones más estructuradas

Experimentos de Ablación

  1. Impacto del Número de Valores Singulares: Análisis del efecto de diferentes valores de k en advBR para diferentes perspectivas de cámara en el conjunto de datos EPFL
  2. Efectividad de Adaptación de Bajo Rango: La versión AO-Exp (LoRa) reduce significativamente la norma nuclear, manteniendo desempeño comparable

Análisis Visual

  • Los ataques ℓ1 producen ruido parpadeante que sigue objetos en movimiento
  • Los ataques de norma nuclear generan perturbaciones espacialmente coherentes más estructuradas, principalmente concentradas en regiones de fondo

Trabajo Relacionado

Estado Actual de la Investigación en Ataques Adversariales

  1. Ataques en Clasificación de Imágenes: Investigación relativamente madura, métodos abundantes
  2. Ataques en Detección de Objetos: Relativamente escasos, especialmente en escenarios de video
  3. Perturbaciones Adversariales Universales: Independientes de entrada, aplicadas uniformemente entre entradas

Investigación de Estructura de Bajo Rango

  1. Hipótesis de Variedad: Los datos de alta dimensión tienden a existir cerca de variedades de baja dimensión
  2. Métodos de Reducción de Dimensionalidad: PCA, UMAP, autocodificadores, etc.
  3. Aplicaciones Adversariales: Aplicación de regularización de norma nuclear en ataques adversariales

Ventajas de Este Artículo

  1. Consistencia Temporal: Considera características temporales de datos de video
  2. Diseño Estructurado: Utiliza regularización de norma nuclear para promover perturbaciones estructuradas de fondo
  3. Optimización Eficiente: El método AO-Exp mejora la eficiencia computacional

Conclusiones y Discusión

Conclusiones Principales

  1. Se propone un nuevo método de ataque adversarial universal estructurado para detección de objetos en video
  2. La regularización de norma nuclear promueve efectivamente perturbaciones estructuradas en regiones de fondo
  3. El algoritmo AO-Exp supera a métodos existentes tanto en efectividad como en eficiencia
  4. El método suprime consistentemente cuadros delimitadores en múltiples conjuntos de datos

Limitaciones

  1. Suposición de Cámara Estática: El método actual asume configuración de cámara estática, limitando la aplicabilidad en escenarios de cámara dinámica
  2. Sensibilidad a Hiperparámetros: El desempeño del ataque es sensible a la selección de hiperparámetros como peso de norma nuclear y regularización de Frobenius
  3. Complejidad Computacional: Cada iteración requiere descomposición SVD, aumentando el costo computacional

Direcciones Futuras

  1. Extensión a Cámara Dinámica: Extender a configuraciones de cámara dinámica
  2. Aplicación a Seguimiento de Objetos: Extender el método a tareas de seguimiento de objetos
  3. Hiperparámetros Adaptativos: Desarrollar estrategias de hiperparámetros adaptativos o aprendidos
  4. Mecanismos de Defensa: Explorar contramedidas y defensas contra ataques adversariales temporales estructurados

Evaluación Profunda

Fortalezas

  1. Innovación Metodológica: Primera aplicación sistemática de regularización de norma nuclear a ataques adversariales en detección de objetos en video
  2. Fundamento Teórico Sólido: Base teórica sólida basada en PCA robusto y perturbación estructurada
  3. Evaluación Experimental Exhaustiva: Evaluación integral en múltiples conjuntos de datos
  4. Alto Valor Práctico: Aborda problemas importantes en aplicaciones críticas para la seguridad
  5. Contribución de Código Abierto: Código y datos disponibles públicamente para reproducibilidad

Deficiencias

  1. Limitaciones de Escenario de Aplicación: Solo aplicable a escenarios de cámara estática
  2. Consideración Insuficiente de Defensa: Falta de evaluación contra métodos de defensa existentes
  3. Verificación en Mundo Físico: Ausencia de experimentos de verificación en entornos físicos reales
  4. Análisis de Costo Computacional: Análisis insuficiente del costo computacional de descomposición SVD

Impacto

  1. Contribución Académica: Proporciona nuevas perspectivas para investigación en ataques adversariales en video
  2. Conciencia de Seguridad: Aumenta la conciencia sobre vulnerabilidades de sistemas de detección en video
  3. Inspiración Metodológica: La regularización de norma nuclear puede inspirar otras investigaciones en ataques estructurados
  4. Escenarios Aplicables: Evaluación de robustez de sistemas de monitoreo de seguridad industrial, herramienta de investigación para robustez adversarial, provisión de muestras de ataque para desarrollo de defensas dirigidas

Referencias

El artículo cita 41 referencias relacionadas, cubriendo múltiples campos incluyendo ataques adversariales, detección de objetos, análisis de video y otros trabajos importantes, proporcionando una base teórica sólida y baselines de comparación para la investigación.

Evaluación General: Este es un artículo de alta calidad con contribuciones importantes en el campo de ataques adversariales en detección de objetos en video. El método presenta fuerte innovación, evaluación experimental exhaustiva e importancia práctica significativa para aplicaciones críticas de seguridad. Aunque presenta algunas limitaciones, proporciona perspectivas valiosas y direcciones de investigación futura para el desarrollo del campo.