ACM MM24 | 复旦提出首个基于扩散模型的视频非限制性对抗攻击框架,主流CNN和ViT架构都防不住它
内容提要
复旦大学研究者提出了一种名为ReToMe-VA的新型面向视频模型的对抗攻击方法。该方法通过逐时间步对抗隐变量优化策略,实现生成对抗样本的空间不可感知性,并引入递归token合并策略,提升对抗视频的迁移性和时序一致性。实验结果显示,ReToMe-VA在多种视频模型上实现了高攻击成功率,并在对抗防御方法中保持较高的鲁棒性。
关键要点
-
复旦大学研究者提出了一种新型面向视频模型的对抗攻击方法ReToMe-VA。
-
ReToMe-VA通过逐时间步对抗隐变量优化策略,实现生成对抗样本的空间不可感知性。
-
引入递归token合并策略,提升对抗视频的迁移性和时序一致性。
-
实验结果显示,ReToMe-VA在多种视频模型上实现了高攻击成功率。
-
对抗样本的可迁移性使得黑箱攻击成为可能,给深度模型的安全性带来威胁。
-
非限制性对抗攻击通过添加自然扰动实现,相比传统方法更自然。
-
ReToMe-VA框架通过DDIM反转将良性帧映射到隐空间,优化潜在变量。
-
递归token合并机制优化了逐帧优化中的细节不对齐信息,生成时间一致的对抗性视频。
-
ReToMe-VA在多种防御方法中保持较高的攻击成功率,显示出其鲁棒性。
-
通过定性和定量比较,ReToMe-VA在视频帧质量和时序一致性方面表现优越。
延伸问答
ReToMe-VA方法的主要创新点是什么?
ReToMe-VA通过逐时间步对抗隐变量优化策略和递归token合并策略,实现了生成对抗样本的空间不可感知性和高迁移性。
ReToMe-VA如何提高对抗视频的时序一致性?
ReToMe-VA通过递归token合并机制优化逐帧优化中的细节不对齐信息,从而生成时间一致的对抗性视频。
ReToMe-VA在对抗攻击中的成功率如何?
实验结果显示,ReToMe-VA在多种视频模型上实现了高攻击成功率,尤其在Motionformer和TimeSformer模型上达到了100%的白盒攻击成功率。
非限制性对抗攻击与传统方法有什么不同?
非限制性对抗攻击通过添加自然扰动(如纹理、风格、颜色等)实现,相比传统方法生成的对抗样本更加自然且不易被检测。
ReToMe-VA的鲁棒性如何?
ReToMe-VA在多种防御方法中保持较高的攻击成功率,显示出其在穿透防御时的鲁棒性和效率。
ReToMe-VA的实验数据来源于哪个数据集?
研究团队选择Kinetics-400数据集来评估ReToMe-VA的对抗性迁移性。
