Структурированные универсальные враждебные атаки на обнаружение объектов в видеопоследовательностях

Основная информация

• ID статьи: 2510.14460
• Название: Structured Universal Adversarial Attacks on Object Detection for Video Sequences
• Авторы: Sven Jacob (BAuA & TUM), Weijia Shao (BAuA), Gjergji Kasneci (TUM)
• Категория: cs.CV (компьютерное зрение)
• Дата публикации: 16 октября 2025 г. (препринт arXiv)
• Ссылка на статью: https://arxiv.org/abs/2510.14460v1

Аннотация

Обнаружение объектов в видео играет важную роль в критичных по безопасности приложениях. Хотя детекторы объектов на основе глубокого обучения демонстрируют впечатляющую производительность, они остаются уязвимы к враждебным атакам, особенно к атакам, связанным с универсальными возмущениями. В данной статье предлагается метод минимального искажения универсальной враждебной атаки на обнаружение объектов в видео, использующий регуляризацию ядерной нормы для содействия структурированным возмущениям, сосредоточенным в фоновых областях. Для эффективной оптимизации этой формулировки применяется адаптивный оптимистичный экспоненциальный метод градиента, повышающий масштабируемость и скорость сходимости. Экспериментальные результаты демонстрируют, что предложенный метод атаки превосходит атаки на основе проекции градиента низкого ранга и Frank-Wolfe при сохранении высокой незаметности.

Исследовательский контекст и мотивация

Определение проблемы

Данное исследование решает проблему враждебных атак на системы обнаружения объектов в видео, в частности уязвимость в критичных по безопасности сценариях приложений.

Анализ значимости

1. Критичность по безопасности: Обнаружение объектов в видео широко применяется в автономном вождении, промышленном мониторинге безопасности, видеонаблюдении в реальном времени и других критичных по безопасности областях
2. Реальные угрозы: Враждебные атаки могут привести к отказу системы обнаружения, вызывая серьёзные инциденты безопасности
3. Вызовы универсальности: Универсальные враждебные возмущения (UAP) представляют большую угрозу, поскольку могут передаваться между кадрами без дополнительного доступа к целевой модели

Ограничения существующих методов

1. Ограничения норм: Существующие методы сосредоточены в основном на возмущениях с ограничениями ℓ2 и ℓ∞ норм
2. Визуальная заметность: Атаки ℓ1 создают видимые пятна на движущихся объектах в видео, снижая незаметность
3. Отсутствие временной согласованности: Независимая обработка каждого кадра игнорирует временную когерентность видеоданных

Исследовательская мотивация

На основе анализа надёжных главных компонент и методов структурированных враждебных возмущений предлагается новая стратегия достижения атак исчезновения объектов посредством структурированных, но неподозрительных модификаций фона.

Основные вклады

1. Новая формулировка атаки: Предложена формулировка минимального искажения универсальной атаки на основе регуляризации ядерной нормы, содействующая структурированным возмущениям ортогональных пространственных паттернов между кадрами видео
2. Эффективный алгоритм оптимизации: Адаптирован адаптивный оптимистичный метод экспоненциального градиента для масштабируемой оптимизации при ограничениях ядерной нормы
3. Комплексная экспериментальная оценка: Проведена всесторонняя оценка на общедоступных видеонаборах данных и современных моделях обнаружения объектов в видео
4. Преимущества производительности: По сравнению с существующими методами атак на основе ядерной нормы демонстрирует превосходство как в успешности атак, так и в вычислительной эффективности

Подробное описание метода

Определение задачи

Дана последовательность видеокадров $\{x_b|1 \leq b \leq B\}$, целью является нахождение универсального враждебного возмущения $\delta$, которое при применении ко всем кадрам дезактивирует детектор объектов $f$, при этом сохраняя минимизацию и структурированность возмущения.

Архитектура модели

Проектирование функции потерь

Функция потерь разложена на потери переднего плана и фона: $L = L_{fg} + L_{bg}$

где:

• Потери переднего плана: $L_{fg} = \frac{1}{|F|}\sum_{i \in F} CE(p_i, y_i)$
• Потери фона: $L_{bg} = \frac{1}{|B|}\sum_{i \in B} CE(p_i, y_i)$
• Потери уверенности: $L_{conf} = \sum_{i \in [S]} \xi_i \cdot \mathbf{1}(\xi_i > \tau)$

Общие потери: $L_{total} = \alpha L_{fg} + \gamma L_{conf} + \beta L_{bg}$

Проектирование регуляризации

Используется комбинация нормы Фробениуса и ядерной нормы: $R(\delta) = \lambda_1 ||\delta||_* + \lambda_2 ||\delta||_F$

Цель оптимизации

Полная задача оптимизации универсальной атаки: $\min_{\delta \in \mathbb{R}^{H \times W \times C}} -\frac{1}{B}\sum_{b=1}^{B} L_{total}(f(x_b + \delta), f(x_b)) + \sum_{c=1}^{C}(\lambda_1||\delta_c||_* + \frac{\lambda_2}{2}||\delta_c||_F^2)$

Алгоритм AO-Exp

Основная идея

Применяется адаптивный оптимистичный метод экспоненциального градиента с поддержкой переменных решения через SVD-разложение: $\delta_c^t = U_{c,t} \text{diag}(z_c^t) V_{c,t}^T$

Этапы алгоритма

1. Оптимистичное обновление: $\eta_c^t \leftarrow \eta_c^{t-1} + \frac{t^2}{||\nabla G(\delta_c^t) - \nabla G(\delta_c^{t-1})||_\infty^2}$
2. Обновление сингулярных значений: $z_{c,i}^{t+1} = \frac{\eta_c^t}{\lambda_2} W_0\left(\frac{\lambda_2}{\eta_c^t} \exp\left(\frac{\lambda_2 + \max\{\theta_{c,i}^t - \lambda_1, 0\}}{\eta_t}\right)\right) - 1$
3. Реконструкция возмущения: $\delta_c^{t+1} = \frac{2}{t(t+1)} \sum_{s=1}^{t} s \cdot U_{c,t} \text{diag}(z_{s,1:k}^c) V_{c,t}^T$

Технические инновации

1. Структурированные возмущения фона: Регуляризация ядерной нормы содействует низкоранговой структуре, сосредоточенной в фоновых областях
2. Временная согласованность: Универсальное возмущение обеспечивает временную согласованность между кадрами
3. Эффективная оптимизация: Метод AO-Exp достигает быстрой сходимости при ограничениях ядерной нормы
4. Адаптация низкого ранга: Дополнительное сжатие информации путём выбора top-k сингулярных значений

Экспериментальная установка

Наборы данных

1. PETS 2009 S2L1: 7 сцен, разрешение 768×576, в среднем 795 кадров/сцена
2. EPFL-RLC: 3 сцены, разрешение 1920×1080, в среднем 5000 кадров/сцена
3. CW4C: 15 сцен, разрешение 1920×880, в среднем 7200 кадров/сцена

Метрики оценки

1. Накопленное значение IoU (IoUacc): Оценка влияния атаки на всю последовательность
2. Коэффициент враждебных ограничивающих рамок (advBR): Отношение количества ограничивающих рамок враждебных образцов к чистым образцам
3. Среднее абсолютное возмущение (MAP): Измерение восприятия
4. Ядерная норма $||\delta||_*$: Оценка структурированности возмущения

Методы сравнения

1. LoRa-PGD: Атака проекции градиента низкого ранга
2. FW-Nucl: Атака Frank-Wolfe с ядерной нормой
3. Варианты AO-Exp: Включая версию с адаптацией низкого ранга

Детали реализации

• Количество итераций: 100 (AO-Exp и LoRa-PGD), 30 (FW-Nucl)
• Параметры регуляризации: λ1 и λ2 настраиваются в зависимости от набора данных
• Целевая модель: Mask R-CNN

Экспериментальные результаты

Основные результаты

Ключевые находки

1. Эффективность атаки: AO-Exp достигает наименьших значений IoUacc и advBR на всех наборах данных
2. Незаметность: Метрика MAP демонстрирует хорошую визуальную незаметность AO-Exp
3. Степень структурированности: Результаты ядерной нормы показывают, что AO-Exp генерирует более структурированные возмущения

Абляционные исследования

1. Влияние количества сингулярных значений: Анализ влияния различных значений k на метрику advBR для разных ракурсов камер на наборе данных EPFL
2. Эффект адаптации низкого ранга: Версия AO-Exp (LoRa) значительно снижает ядерную норму при сохранении сравнимой производительности

Визуальный анализ

• Атаки ℓ1 создают мерцающий шум, следующий за движущимися объектами
• Атаки с ядерной нормой генерируют более структурированные пространственно-когерентные возмущения, сосредоточенные в фоновых областях

Связанные работы

Современное состояние исследований враждебных атак

1. Атаки на классификацию изображений: Исследования относительно зрелы, методы разнообразны
2. Атаки на обнаружение объектов: Относительно редки, особенно в видеосценариях
3. Универсальные враждебные возмущения: Независимы от входных данных, применяются единообразно ко всем входам

Исследования низкоранговой структуры

1. Гипотеза многообразия: Высокомерные данные имеют тенденцию находиться вблизи низкомерного многообразия
2. Методы снижения размерности: PCA, UMAP, автокодировщики и др.
3. Приложения в враждебных атаках: Применение регуляризации ядерной нормы в враждебных атаках

Преимущества данной работы

1. Временная согласованность: Учитывает временные характеристики видеоданных
2. Структурированное проектирование: Использует ядерную норму для содействия структурированным возмущениям фона
3. Эффективная оптимизация: Метод AO-Exp повышает вычислительную эффективность

Заключение и обсуждение

Основные выводы

1. Предложен новый метод структурированной универсальной враждебной атаки на обнаружение объектов в видео
2. Регуляризация ядерной нормы эффективно содействует структурированным возмущениям в фоновых областях
3. Алгоритм AO-Exp превосходит существующие методы как по эффективности, так и по производительности
4. Метод последовательно подавляет ограничивающие рамки на нескольких наборах данных

Ограничения

1. Предположение о статической камере: Текущий метод предполагает статическую установку камеры, ограничивая применимость в сценариях с динамической камерой
2. Чувствительность к гиперпараметрам: Производительность атаки чувствительна к выбору гиперпараметров, таких как вес ядерной нормы и регуляризация Фробениуса
3. Вычислительная сложность: Каждая итерация требует SVD-разложения, увеличивая вычислительные затраты

Направления будущих исследований

1. Расширение на динамические камеры: Распространение метода на сценарии с динамической камерой
2. Приложения к отслеживанию объектов: Расширение метода на задачи отслеживания объектов
3. Адаптивные гиперпараметры: Разработка адаптивных или обучаемых стратегий выбора гиперпараметров
4. Механизмы защиты: Исследование контрмер и защиты от структурированных временно-согласованных враждебных атак

Глубокая оценка

Преимущества

1. Инновационность метода: Первое систематическое применение регуляризации ядерной нормы к враждебным атакам на обнаружение объектов в видео
2. Прочная теоретическая база: Основана на надёжном анализе главных компонент и структурированных возмущениях с solid theoretical foundation
3. Достаточные эксперименты: Комплексная оценка на нескольких наборах данных
4. Высокая практическая ценность: Решает важную проблему в критичных по безопасности приложениях
5. Вклад в открытый исходный код: Код и данные открыты для воспроизведения

Недостатки

1. Ограничения сценариев приложений: Применимо только к сценариям со статической камерой
2. Недостаточное рассмотрение защиты: Отсутствует оценка существующих методов защиты
3. Отсутствие проверки в физическом мире: Недостаточно экспериментов по проверке в реальной физической среде
4. Неглубокий анализ вычислительных затрат: Анализ вычислительных затрат SVD-разложения недостаточно глубок

Влияние

1. Академический вклад: Предоставляет новые идеи для исследований враждебных атак на видео
2. Осведомленность о безопасности: Повышает осведомленность об уязвимости видеосистем обнаружения
3. Методологическое вдохновение: Регуляризация ядерной нормы может вдохновить другие исследования структурированных атак

Применимые сценарии

1. Оценка безопасности: Оценка надёжности систем промышленного мониторинга безопасности
2. Исследовательский инструмент: Метод-бенчмарк для исследований враждебной надёжности
3. Разработка защиты: Предоставление образцов атак для разработки целевых методов защиты

Библиография

Статья цитирует 41 связанную работу, охватывающую враждебные атаки, обнаружение объектов, анализ видео и другие области, предоставляя solid theoretical foundation и baseline для сравнения.

Общая оценка: Это высококачественная статья с важным вкладом в область враждебных атак на обнаружение объектов в видео. Метод обладает высокой инновационностью, эксперименты проведены всесторонне, работа имеет важное практическое значение для критичных по безопасности приложений. Несмотря на некоторые ограничения, статья предоставляет ценные insights и направления для будущих исследований в этой области.