type
status
date
slug
summary
tags
category
icon
password

Introduction

提到了目前的图像分类对抗样本无法直接应用到步态识别,如FGSM和PGD
基于序列的方法将从原始视频中分割的一系列剪影作为输入,所以对原视频的扰动不起作用
即使攻击者可以修改probe,在原始步态轮廓上添加norm-constrained perturbation也会破坏其不可感知性。
存在两种主要方法:基于模板的方法(template-based methods)和基于序列的方法(sequence-based methods)。
  1. 基于模板的方法:
      • 区别: 基于模板的方法通常将步态特征建模为一组先前获取的模板或样本。这些模板可以是特定个体的步态数据,例如其步长、步频等。在识别时,输入的步态数据与模板进行比较,通过一些度量(如相关性)来判断是否匹配。
      • 联系: 这种方法适用于对步态进行静态建模,然后通过比较相对简单的特征来进行识别。然而,它可能对个体之间的变化敏感度较高,因为个体之间的步态差异可能较大。
  1. 基于序列的方法:
      • 区别: 基于序列的方法将步态特征建模为时间序列数据,考虑到了步态在时间上的演变。这可以包括使用序列模型(如循环神经网络或长短时记忆网络)来捕捉步态在整个过程中的动态信息。
      • 联系: 这种方法更加灵活,能够捕捉步态的动态变化,考虑到步态的时间序列性质。相对于基于模板的方法,它可能更适合应对个体之间步态变化较大的情况。
想必这里的工作和我的工作都是更侧重于序列方法。
这个paper提到的intuitions主要有两点
一个是稀疏攻击可以更好实现不可感知性,一个是基于deformation变形来实现unrestricted adv要比基于norm-bounded的perturbation更好实现不可感知性
main work里面提出了方法,还说做了大量的实验来研究步态识别的鲁棒性

Related Work

关于步态识别的方法,基于序列的给到的sota还是gaitset
对抗样本里面使用GAN的有一篇论文,Fine-grained Synthesis of Unrestricted Adversarial Examples,后面看一下
除此之外还有一些关于action recognition的对抗样本method,但用的是范数,帧插入等方法,说是用这种范数扰动不适合步态识别,我也不是很懂,放标题在这里Sparse adversarial perturbations for videos(简单看了一下,都是对视频的扰动,应该是那种动作分类的)
后面简单介绍了一下GAN
 

Methodology

Problem Formulation

N frames,WHC是图片三维参数,建立一个NWHC的X,列了一个优化式子,就是序列差异和结果差异,序列差异常用的是lp范数,在这自己拟了一个,对每一帧的差异做代数和
notion image

Temporal Sparse Attack

这个等式不好优化,所以用生成器来制作对抗性帧,按照稀疏度随机抽取几个帧
在生成器的地方说了一堆看不懂的话,一点点分析
notion image
先看一下这个pipeline,在f那里是怎么实现梯度下降的?我很在意这个地方
这里似乎考虑到随机产生的标准高斯随机样本不能保证G(Z)的效果,保证生成轮廓的高质量,需要处于隐空间的高概率区域,将RV的高斯分布替换为一致分布(单位球),这里提到的论文是“PULSE: selfsupervised photo upsampling via latent space exploration of generative models“,后面看一下
这里用二元交叉熵Lbce来确保G(Z)与步态的相似度来训练GAN,在这里使用MIFGSM来攻击f,并且给了一个伪代码
notion image
(讲道理,这里和FGSM还有什么关系啊..
哦,原来是用MIFGSM更新隐变量g和Z,看一下逻辑
notion image
去找一下MIFGSM,这里的g和Z都是干什么的
https://zhuanlan.zhihu.com/p/170602502
notion image

Video Generation

除了轮廓图像的工作流,论文中还提到了一个视频生成的流程,就是将对抗轮廓图像转换为有效的视频帧
notion image
使用了流行的SPADE(什么玩意),大概是利用了背景图和剪影的合并,同时增加了一个主体生成器,从剪影转换为实际效果
不过这个有点像叠工作量的东西

Experiment

Setup

用的CASIA-B(经典),用了WGAN-GP,潜在变量128维,基于MIFGSM的攻击,使用SPADE进行视频翻译

白盒实验

做了一个有意思的实验设计,比较以下内容
(1)用其他主体的帧替换 - 真实
(2)Z从标准高斯中取样 - 随机 Gaitset对其具有鲁棒性
这两个会稍微影响ACC,而对抗组会严重影响
此外,给出了一些关于视角的想法,以及与Spoofing Attack做对比(似乎是更改背景,每一帧的攻击,和my之前提到的很相似?看一下:Attacking gait recognition systems via silhouette guided gans)

黑盒实验

做的是基于模版的gait rec的实验,这里提到了一个对抗样本迁移性?给Gaitset生成的对抗样本去跑GaitGAN背书,说了这两篇论文:(
Delving into transferable adversarial examples and black-box attacks,
Selfgait: A spatiotemporal representation learning method for self-supervised gait recognition)
GEI比Gaitset更有鲁棒性(轮廓平均,我想也是),这里基本上就是提出个不足

与扰动对抗样本的比较

这么写一段是挺有意思x
 
Relate Posts
De-anonymization Attacks on Metaverse
Clean-Label Backdoor Attacks on Video Recognition Models
Sleeper Agent: Scalable Hidden Trigger Backdoors for Neural Networks Trained from Scratch.
TrojanZoo
BackdoorBox: A Python Toolbox for Backdoor Learning
Input-Aware Dynamic Backdoor Attack
De-anonymization Attacks on MetaverseClean-Label Backdoor Attacks on Video Recognition Models