Défis dans les systèmes de ré-identification des personnes
Examiner l'impact des attaques adversariales sur la technologie de Re-ID.
― 7 min lire
Table des matières
La ré-identification de personnes (Re-ID) est un domaine en plein essor dans la vision par ordinateur qui se concentre sur la reconnaissance d'individus à travers différentes images prises par des caméras de sécurité. Cette technologie peut être super utile pour la sécurité publique, aider à localiser des personnes disparues et gérer la sécurité dans des espaces publics. Mais créer des systèmes Re-ID fiables, c'est pas simple. Des défis comme des obstructions dans les images, des conditions d'éclairage différentes et des angles de vue variés affectent les performances du système.
Avec l'augmentation des caméras de surveillance, la demande pour des systèmes Re-ID a aussi grimpé, surtout grâce aux avancées en deep learning. Des entreprises et des gouvernements investissent dans ces systèmes pour traiter des préoccupations liées à la sécurité et au suivi dans divers environnements comme les écoles, les rues et les aéroports. Malgré les progrès, ces systèmes sont vulnérables à des attaques qui peuvent altérer leur capacité à fonctionner correctement. Pour cette raison, étudier comment protéger ces systèmes contre de telles menaces est crucial.
Attaques adversariales sur les Systèmes Re-ID
Une menace majeure pour les systèmes Re-ID vient des attaques adversariales. Ces attaques peuvent embrouiller le système et conduire à des identifications incorrectes, ce qui représente des risques importants dans des situations sensibles à la sécurité. Une attaque adversariale modifie une image d'une manière qui est imperceptible pour les humains mais qui peut tromper un modèle d'apprentissage automatique en lui faisant faire des erreurs.
Dans ce travail, on se concentre sur la combinaison de deux types de ces attaques pour en renforcer les effets. En utilisant deux méthodes d'attaque différentes, on vise à améliorer les chances de provoquer une baisse de la Précision de classification, ce qui affecte directement la capacité du système à identifier les gens.
Les Méthodes d'Attaque
Les deux méthodes d'attaque qu'on explore dans cette étude sont la Méthode de Gradient Signé Rapide Privé (P-FGSM) et le Deep Mis-Ranking.
P-FGSM
Le P-FGSM est une variation d'une attaque précédente connue sous le nom de FGSM. Elle vise à protéger les données sensibles en créant des distorsions qui sont difficiles à déceler pour les classificateurs. L'idée principale est d'ajouter de petits changements aux images qui gardent les infos privées tout en confondant le système. Cette méthode modifie sélectivement les images pour rendre difficile la détermination de qui est présent dans l'image sans nuire à la qualité globale de l'image.
Deep Mis-Ranking
Le Deep Mis-Ranking est une autre méthode conçue pour perturber les prédictions de classement faites par les systèmes Re-ID. Cette méthode a l'avantage de pouvoir fonctionner à travers différents types de modèles Re-ID, ce qui signifie que les attaques peuvent être efficaces même quand les modèles diffèrent. Le but du Deep Mis-Ranking est de manipuler le système pour que les images de la même personne apparaissent plus éloignées les unes des autres que les images de personnes différentes, ce qui crée de la confusion dans le processus d'identification.
Expérimentation et Résultats
Pour tester notre approche, on a réalisé des expériences sur trois ensembles de données bien connus : DukeMTMC-ReID, Market-1501 et CUHK03. On a appliqué les deux types d'attaques à deux modèles Re-ID populaires, IDE basé sur ResNet-50 et AlignedReID. Notre objectif était de mesurer à quel point nos attaques combinées pouvaient baisser la précision de ces systèmes.
Dans nos expériences, on a noté une baisse de performance selon l'ensemble de données et l'attaque appliquée. Par exemple, lorsque nous avons appliqué les attaques combinées, on a observé une baisse de 3,36 % de la précision de classification du modèle AlignedReID testé sur l'ensemble de données CUHK03. Bien que les attaques aient été efficaces dans certains cas, on a aussi noté des situations où les systèmes ont mieux performé que prévu, indiquant que toutes les combinaisons ne menaient pas à une chute de précision.
Mécanismes de Défense
Pour équilibrer l'impact des attaques adversariales, on a considéré une méthode de défense connue sous le nom de Dropout. Cette technique implique d'ignorer aléatoirement certains neurones dans les modèles pendant la phase d'inférence pour rendre plus difficile le succès des exemples adversariaux. En appliquant le Dropout, on espérait améliorer la résilience des systèmes contre les attaques.
Cependant, nos résultats n'étaient pas aussi prometteurs qu'on l'avait espéré. La performance de la méthode de défense variait énormément, avec quelques améliorations notées mais pas suffisamment significatives pour faire une vraie différence dans l'ensemble. Dans certains cas, des métriques comme la précision moyenne (mAP) ont montré des baisses lorsque le Dropout a été appliqué, suggérant que la défense n'a pas pu contrer efficacement les attaques.
Discussion des Résultats
L'utilisation conjointe de P-FGSM et Deep Mis-Ranking comme attaques combinées représente un pas en avant pour comprendre les vulnérabilités des systèmes Re-ID. Les résultats ont montré que bien que la combinaison des attaques puisse aider à diminuer la précision de classification, les résultats varieront selon le modèle et l'ensemble de données impliqués.
La baisse de précision est particulièrement évidente dans l'ensemble de données CUHK03, où la combinaison des deux attaques a mieux fonctionné. Cependant, les résultats mixtes soulignent l'imprévisibilité de ces systèmes face à des exemples adversariaux. Certaines métriques ont même montré de légers augmentations de précision, ce qui suggère qu'il faut encore du travail pour préparer ces systèmes contre différents types d'attaques.
Le manque d'amélioration substantielle de la défense Dropout soulève des questions sur sa praticité dans des applications réelles. Bien qu'elle puisse offrir un certain niveau de protection, le compromis entre précision et sécurité doit être soigneusement considéré en déployant de tels systèmes.
Conclusion
Cette étude a exploré la combinaison de deux méthodes d'attaque adversariales contre les systèmes Re-ID. Les résultats ont montré une baisse de la performance de classification, en particulier pour certains modèles et ensembles de données. Cependant, l'application d'une méthode de défense comme le Dropout n'a pas apporté de bénéfices significatifs, mettant en avant les défis persistants dans la création de systèmes Re-ID robustes.
Les limitations de l'étude proviennent de la disponibilité des ensembles de données et du besoin d'explorer davantage les combinaisons efficaces d'attaques et de défenses. La recherche continue dans ce domaine est essentielle pour garantir la fiabilité et la sécurité des systèmes Re-ID dans diverses applications, surtout dans des domaines sensibles comme la sécurité publique.
À l'avenir, des investigations supplémentaires sur l'efficacité des différentes méthodes d'attaque et de défense seront cruciales pour améliorer la sécurité des systèmes Re-ID, en s'assurant qu'ils puissent fonctionner de manière précise et sécurisée dans des conditions réelles.
Titre: Combining Two Adversarial Attacks Against Person Re-Identification Systems
Résumé: The field of Person Re-Identification (Re-ID) has received much attention recently, driven by the progress of deep neural networks, especially for image classification. The problem of Re-ID consists in identifying individuals through images captured by surveillance cameras in different scenarios. Governments and companies are investing a lot of time and money in Re-ID systems for use in public safety and identifying missing persons. However, several challenges remain for successfully implementing Re-ID, such as occlusions and light reflections in people's images. In this work, we focus on adversarial attacks on Re-ID systems, which can be a critical threat to the performance of these systems. In particular, we explore the combination of adversarial attacks against Re-ID models, trying to strengthen the decrease in the classification results. We conduct our experiments on three datasets: DukeMTMC-ReID, Market-1501, and CUHK03. We combine the use of two types of adversarial attacks, P-FGSM and Deep Mis-Ranking, applied to two popular Re-ID models: IDE (ResNet-50) and AlignedReID. The best result demonstrates a decrease of 3.36% in the Rank-10 metric for AlignedReID applied to CUHK03. We also try to use Dropout during the inference as a defense method.
Auteurs: Eduardo de O. Andrade, Igor Garcia Ballhausen Sampaio, Joris Guérin, José Viterbo
Dernière mise à jour: 2023-09-24 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2309.13763
Source PDF: https://arxiv.org/pdf/2309.13763
Licence: https://creativecommons.org/licenses/by-nc-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.