【论文阅读】Seeing is Not Believing：Camouflage Attacks on Image Scaling Algorithms（眼见为实:对图像缩放算法的伪装攻击）

文章目录

一.论文信息
二.论文内容

一.论文信息

论文题目： Seeing is Not Believing：Camouflage Attacks on Image Scaling Algorithms（眼见为实:对图像缩放算法的伪装攻击）

发表年份： 2019-USENIX Security

作者信息：

Qixue Xiao （清华大学计算机科学与技术系，360安全研究实验室）
Yufei Chen （西安交通大学电子信息工程学院，360安全研究实验室）
Chao Shen （西安交通大学电子信息工程学院）
Yu Chen （清华大学计算机科学与技术系，鹏城实验室）
Kang Li （美国佐治亚大学计算机科学系）

论文链接： https://www.usenix.org/system/files/sec19-xiao.pdf

二.论文内容

0.摘要

图像缩放算法旨在保留缩放前后的视觉特征，在许多视觉和图像处理应用中都很常用。在本文中，我们演示了一种针对常见缩放算法的自动攻击，即自动生成伪装图像，该图像缩放后视觉语义发生显著变化。为了说明这种伪装攻击的威胁，我们选择了几个计算机视觉应用程序作为目标受害者，包括基于流行的深度学习框架的多个图像分类应用程序，以及主流的web浏览器。我们的实验结果表明，这种攻击在缩放后会造成不同的视觉结果，从而对这些受害应用程序造成逃避或数据中毒效应。我们还提出了一种算法，可以成功攻击著名的基于云的图像服务（如微软Azure、阿里云、百度和腾讯的图像服务），并造成明显的误分类效果，即使图像处理的细节（如精确的缩放算法和缩放维度参数）隐藏在云中。为了防御这种攻击，本文提出了从攻击防御到检测的几种潜在对策。

1.论文概述

这是一篇发表于2019年USENIX Security会议上的关于图像缩放攻击的文章。

假设已经有一个预训练好的模型（良性的模型），输入层的尺寸是224*224，由于推理阶段输入图像的尺寸大小不一致，因此模型会使用图像缩放函数，例如：将672*224的图像缩放成224*224，以满足模型需要。

【注意：攻击发生在推理阶段，对预训练好的模型进行攻击】攻击者需要精心设计一个672*224的图像，该图像经过缩放后呈现的内容与缩放前呈现的内容不一致。例如，将672*224的一张羊群图像和一张224*224的1只狼的图像进行嵌入，生成一张新的672*224的图像，人眼看到是“羊”，但是这张图像缩放以后会变成“狼”。因此将这张图像作为输入时，深度学习模型会首先进行缩放，将672*224变成224*224，识别成“狼”。但由于该图像人眼看到的是“羊”，且标签也是“羊”，因此会判定模型识别错误。

2.背景介绍

图像缩放是指在保持图像视觉特征的前提下，对数字图像进行调整大小的操作。在缩放图像时，缩小(或增大)过程生成的新图像与原始图像相比具有更小（或更大）的像素数。

图像缩放算法在各种应用中被广泛采用。例如，大多数深度学习计算机视觉应用程序使用预训练的卷积神经网络（CNN）模型，输入层必须是固定大小的数据。而真实的输入数据可能尺寸大小是不一样的，所以需要对输入数据进行处理（即图像缩放），变成统一大小的尺寸。 像流行的深度学习框架，如Caffe[17]、TensorFlow[13]和Torch[26]，都在其数据预处理模块中集成了各种图像缩放函数。

虽然缩放算法被广泛使用并且对正常输入有效，但是常见的缩放算法的设计并没有考虑恶意输入，恶意输入可能会在缩放后故意造成不同的视觉结果，从而改变图像的“语义”含义。在本文中，我们将看到攻击者可以利用大图像调整为小图像时发生的“数据欠采样”现象，引起人和机器对同一图像的“视觉认知矛盾”。 通过这种方式，攻击者可以达到规避检测和数据中毒等恶意目的。更糟糕的是，与对抗性示例不同，这种攻击独立于机器学习模型。攻击确实发生在模型消耗输入之前，因此这种类型的攻击影响了具有各种机器学习模型的广泛应用程序。

3.作者贡献

本文揭示了计算机视觉应用中图像缩放过程中存在的安全隐患，并提出了一种针对图像缩放算法的伪装攻击（即：图像缩放攻击）。
攻击者需要通过分析缩放算法来决定在哪里插入具有欺骗效果的像素。这个工作是十分繁琐的，因此作者将缩放攻击形式化为一个约束优化问题，实现了伪装图像的自动高效生成。
作者证明了所提出的攻击对于基于云的图像分类算法仍然有效（这种基于云的图像分类算法是黑盒的，看不到实际的缩放函数以及相关的参数，因此难度更大）。
为了消除缩放攻击的威胁，我们从攻击防御和攻击检测两个方面提出了几种潜在的防御策略。