文献[16]表明, CNN(Convolution Neural Net-work)容易受到对抗性样本的攻击.先进的分类器很容易通过在原始图像上添加人眼无法察觉的微小扰动而被干扰, 使模型最终给出高置信度的错误输出.根据攻击者是否了解模型参数, 对抗攻击划分为白盒攻击和黑盒攻击.在白盒攻击中, 攻击者可访问模型的全部参数和算法^{[17, 18]}, 而在黑盒攻击中, 攻击者只能访问模型的输入和输出^{[19, 20]}, 对模型的了解有限, 但更接近实际场景.

黑盒攻击常见的方式可分为基于决策的方法^[19]、基于得分的方法^[20]和基于转移的方法^[21].基于转移的方法利用白盒模型生成对目标模型具有欺骗性的输入样本.基于得分的方法知道预测的分类概率, 依赖近似的梯度以生成对抗性示例.基于决策的方法中威胁模型只能访问分类的最终标签.除了算法攻击之外, 物理攻击方法还会在现实世界中创造对抗性物体^{[22, 23, 24]}, 进一步扩大对抗攻击的影响.

在早期研究中, 对抗攻击主要应用于图像识别与分类领域.Szegedy等^[25]提出盒约束的L-BFGS, 使神经网络在对对抗样本进行错误分类的同时, 最小化干扰量.同样, Goodfellow等^[5]提出Fast Gra-dient Sign Method, 目的是通过在图像中引入干扰, 使损失函数最大化, 从而导致错误预测.文献[24]方法旨在最小化输入和它生成的对抗性样本之间的Chebyshev距离, 但由于Fast Gradient Sign Method执行独特的梯度步骤, 通常导致次优解.因此, Moosavi-Dezfooli等^[17]提出DeepFool, 使用一种简单、准确的方法计算和对比不同分类器的鲁棒性与对抗性扰动.Chao等^[26]提出AdvGAN, 使用GAN(Generative Adversarial Networks)生成对抗性样本.Li等^[27]提出GMAA(Generalized Manifold Adversarial Attack), 使用对抗流形攻击目标的状态集合, 为对抗攻击提供一种新的范式.

对抗攻击也一直在向其它领域拓展.在目标跟踪领域, 针对跟踪器的对抗攻击成为学者们关注的热点.通过优化置信度损失和特征损失, 修改初始的目标补丁, Chen等^[28]提出One-Shot Adversarial Atta-cks.Yan等^[15]提出CSA, 设计一个对抗性损失, 冷却热图上的热点区域, 并缩小预测的边界框.Jia等^[29]提出RTAA(Robust Tracking against Adversarial Atta-cks), 在视频序列中产生对抗样本, 同时在产生轻量扰动时将时序信息也考虑在内, 将时序的扰动添加到原始的视频序列中.Jia等^[30]提出IoU Attack, 根据预测的交并比分数产生扰动, 通过减少交并比评分, 降低时间相干边界框的准确性, 并将学到的扰动转移到接下去的几帧, 用于初始化时间运动攻击.Cheng等^[31]提出TAT(Targeted Backdoor Attacks), 是一种有针对性的后门攻击, 使用双触发投毒技术攻击视觉目标跟踪模型.

上述攻击方法均对跟踪性能造成较显著的影响.

修改数据是针对对抗攻击进行最广泛研究的防御策略之一^[32], 旨在训练阶段修改数据集或在测试阶段改变输入数据.其中常见的防御方法包括对抗性训练^{[5, 6]}、阻止可转移性^[16]、数据压缩^{[33, 34]}和数据随机化^{[35, 36]}.

对抗性训练将生成的对抗样本纳入训练集, 以增强目标模型的鲁棒性.Kim等^[37]提出FSR(Fea-ture Separation and Recalibration), 分离和重新校准恶意、非鲁棒的激活, 获得更鲁棒的特征图.在某些小型图像数据集上, 对抗训练甚至提高对干净图像的准确性.由此可见, 将对抗样本的可传递性作为防止对抗攻击的关键问题变得非常重要.Hosseini等^[16]提出一种三步NULL标记方法, 将扰动输入标记为空标签, 用于防止对抗样本在不同网络之间的传递应用.Guo等^[14]使用输入变换对抗对抗性样本攻击, 在样本输入网络前就将其转换成不可微图像进行防御.Dziugaite等^[33]发现JPG压缩方法可改善因Fast Gradient Sign Method攻击而导致模型精度下降的问题.随后, Das等^[34]采用类似的JPEG压缩方法, 提出一种针对Fast Gradient Sign Method和Deep-Fool攻击的防御方法.然而, 这种数据压缩明显带来原始图像分类准确率下降的问题.Xie等^[35]验证随机调整对抗样本大小可降低对抗样本攻击的有效性.Wang等^[36]使用与模型分离的数据转换模块消除图像中可能存在的对抗性干扰.Liao等^[38]将防御表述为去噪问题, 提出HGD(High-Level Representa-tion Guided Denoiser), 对图像分类任务进行防御.面对攻击不再单一化的现状, Tsai等^[39]提出GAT(Ge-neralizing Adversarial Training), 结合分量级的投影梯度下降和自动化攻击顺序安排以寻找最佳的攻击策略组合, 由此给出对抗组合攻击的有效防御机制.

在目标跟踪领域, 对于对抗攻击的防御方法的研究仍处于初级阶段.Suttapak等^[40]提出MUNet(Multi-model UNet), 使用像素和特征去噪器, 随机在图像上进行端到端的训练, 生成的去噪图像在需要最小计算资源的情况下防御跟踪对抗攻击.

当前的防御策略主要局限于图像识别领域, 目的是提高识别的鲁棒性.本文提出基于时空交并比约束的目标跟踪对抗防御方法(STIC), 整体防御过程如图1所示, 将防御从单纯的图像分类领域扩展至视觉目标跟踪领域.

图1

Fig.1

	Figure Option ViewDownloadNew Window
	图1 STIC结构图Fig.1 Structure of STIC

相比遭受攻击的对抗样本, 原始的干净样本在交并比分数方面表现更优.本文在对抗样本中引入基于时空交并比的约束, 使其更新后更接近原始的干净样本.被攻击的对抗样本x'由对应的干净图像x和添加在上面的扰动μ构成, 即

x'=x+μ.

对抗样本可使跟踪算法F预测错误目标位置, 即

F(x)≠F(x').

本文提出一种新的约束∈, 即

F(x)=F(x'+∈), s.t.‖ ∈‖ ≤δ .

其中:·表示一种距离度量, 常以各种范数作为度量标准, 如l₁-范数、l₂-范数、l∞-范数等; δ 表示阈值.

在遭受攻击后的对抗样本上添加一个约束∈, 使受到攻击后的跟踪算法输出结果回归至正确结果, 达到防御目的.随着约束的添加, 交并比分数逐渐提高, 同时, 约束幅度也在一定范围内逐渐增加.STIC的关键在于通过引入约束使交并比分数逐渐增加, 不断改进对抗样本与原始图像交并比分数的相似程度, 使其逼近或达到原始样本的质量水平.

STIC遭受对抗攻击后会生成相应的对抗样本, 在对抗样本上叠加约束.最佳约束由切线方向的约束和法线方向的约束正交组成.交并比分数由空间交并比分数和时序交并比分数组成, 切线方向更新选择交并比分数最高的约束.法线方向更新选择微调参数, 使其更接近原始图像, 也使交并比分数升高.最后正交组合生成对应约束, 并不断迭代寻找交并比分数最接近原始图像且噪声等级最低的最佳约束, 以此形成防御样本.

本文设定交并比分数的提升与添加的约束增加之间呈正相关, 尽管它们并不完全呈正比, 但增长趋势一致.在应对对抗攻击时, 本文的主要目标是逐步寻找噪声等级最小且交并比分数最大的最佳约束.然而, 在实际情况中, 不同类型的噪声对跟踪器性能的具体影响难以建模.因此, 本文采取一种简化方法, 如图2所示, 图中等高线表示不同噪声等级.采用正交组合迭代的方式寻找噪声等级最低、交并比分数最高的最佳约束, 使对抗样本添加约束后向着原始图像接近.这一简化方法可帮助更好地理解和应对不同噪声情况下的跟踪器性能, 并为防御对抗攻击提供有力支持.

图2

Fig.2

	Figure Option ViewDownloadNew Window
	图2 约束生成示意图Fig.2 Schematic diagram of constraint generation

本文定义原始图像为O, 被攻击后的对抗样本为X_a, 中间第k次迭代添加约束后的图像为X_k.首先随机生成一些符合高斯分布的随机约束∈~N(0, 1), 选择正切方向的最小约束:

d(X_a, X_k)=d(X_a, X_k+∈), (1)

其中, d表示两幅图像的像素距离, 确保约束在相同的噪声等级.选择的约束∈^m(m=1, 2, …, n)表示向X_k点处噪声等高线的正切方向约束.

STIC不会对模型的训练阶段造成任何影响, 仅在测试阶段施行, 具体的防御过程如算法1所示.

算法 1 STIC

输入M 帧对抗视频V, 初始化约束 P₁=0,

原始图像 O

输出M 帧防御样本

for t=2 to M do

获取当前对抗帧X_a 和原始预测框Btorig

X_a=X_a+αP_t-1

for k=0 to K-1 do

//切线方向

生成N个随机约束 ∈

选择符合 d(X_a, X_k)=d(X_a, X_k+∈)的n个约束

for j=1 to n do

预测 X_k+∈^j的预测框Btj

计算

S_IoU=λS_spatial+(1-λ)S_temporal

S_spatial=Borigt⋂BtjBorigt⋃Btj

S_temporal=Borigt-1⋂BtjBorigt-1⋃Btj

end

选择S_IoU 最高的j

// 法线方向

调整ε 增加 S_IoU

生成Xk+1j=(X_k+∈^j)+∈ψ (O, X_k+∈^j)

end

获得学到的最佳约束P_t=Xk+1j-X_a

returnXKj

end

算法输入包括对抗攻击方法生成的对抗样本序列、原始图像、设置为0的初始化约束, 输出为防御后的样本.中间过程主要涉及生成正切方向约束和法线方向约束的更新, 两者均根据交并比分数更新进行迭代优化, 交并比分数由时间交并比分数和空间交并比分数相加得到, 再将正切方向和法线方向约束正交组合形成的约束添加至对抗样本, 以达到将跟踪效果从遭受攻击后的无法准确跟踪恢复至接近原始跟踪效果的防御目标.由于相邻帧的相似性, 再将学到的最佳约束传递到下一帧, 循环往复, 实现对每帧的防御效果.

总之, STIC在对抗样本上添加最佳约束, 以提高跟踪的交并比分数, 达到抵御视觉目标跟踪领域对抗攻击的目的.

STIC的关键组成部分是如何有效利用交并比以实现防御.交并比不仅能提供一个衡量跟踪效果的标准, 同时也是确定和应用约束的基础.因此, 本文通过定义交并比分数以帮助获得最佳约束, 设交并比分数:

S_IoU=αS_spatial+(1-α)S_temporal.

其中:α表示控制比例的参数; 空间交并比分数

S_spatial=Borigt⋂BtmBorigt⋃Btm,

表示第t帧预测得到的包围框Btm与原始未遭受攻击得到的包围框Borigt之间的交并比; 时序交并比分数

S_temporal=Borigt-1⋂BtmBorigt-1⋃Btm,

表示第t帧预测得到的包围框Btm与第t-1帧原始的包围框Borigt-1之间的交并比.

本文综合考虑空间交并比分数和时序交并比分数, 结合后得到最终的交并比分数, 并且利用这个分数作为后续防御措施的依据.总之, 本文选择生成后防御样本中交并比分数最高的样本进行进一步研究.如图2所示, 最佳约束的更新方向由正切方向和法线方向正交组成.正切方向约束∈^m在随机产生的高斯噪声中选取, 选取原则为符合式(1)的切向约束, 选择交并比分数最高的迭代版本.为了使迭代的最佳约束向交并比分数增大的方向迭代, 假设原始图像为O, 在迭代第k次的X_k点得到∈^m, 法线方向约束为:

φ =ε ψ (O, X_k+∈),

其中ε 表示向原始图像O前进的步长.

所得的法线方向约束使交并比分数升高, 也是法向噪声等级的等高线方向.故可得到第k+1次迭代的防御图像:

Xk+1j=X_k+∈^j+φ =X_k+∈^j+ε ψ (O, X_k+∈).

Xk+1j包括正切方向约束和法线方向约束的完整约束.对防御图像不断进行迭代优化, 直至交并比分数达到设定阈值或约束大小超过阈值.添加的约束在一定范围内可改善跟踪器性能, 但也存在极限.如果约束持续增加, 将对跟踪器产生负面影响.因此, 考虑到临近帧的相似性, 选择将前一帧学到的最佳约束传递给后续帧, 这有助于保持跟踪性能的稳定性.

生成的防御图像分别与原始图像和对抗样本图像之间的像素差异如图3所示, 尽管这三者在视觉上看起来相似, 但对于跟踪模型而言, 防御图像与原始图像更接近, 与对抗样本存在显著差异, 体现防御的有效性.峰值信噪比(Peak Signal-to-Noise Ratio, PSNR)越大表示图像之间相似度越大, 在图中, PSNR_1表示防御图像和原始图像的PSNR值, PSNR_2表示对抗样本和原始图像的PSNR值, PSNR_3表示防御图像和对抗样本的PSNR值.由各PSNR值可见, 虽然防御图像、原始图像和对抗样本三者在人们肉眼看来非常接近, 但是实际上防御图像会更接近原始图像, 而对抗样本与防御图像、原始图像有一定的差距.

图3

Fig.3

	Figure Option ViewDownloadNew Window
	图3 防御图像分别与原始图像、对抗样本的像素差Fig.3 Pixel difference between defense image and original image, and between defense image and adversarial example

本文实验的硬件设备是Intel Xeon Gold 5118 CPU和一块Nvidia V100 GPU.

选择在OTB100、VOT2018、GOT-10k、LaSOT这4个挑战性跟踪数据集上进行实验.OTB100数据集包含100个序列, 涉及到目标跟踪的11个属性.VOT2018数据集包含60个不同的序列, 提供一些小目标和非刚体运动等复杂场景的跟踪测试.GOT-10k数据集是一个通用的目标跟踪基准, 训练集和测试集完全没有重叠数据, 可有效评估跟踪器的泛化性能.LaSOT数据集是一个大型数据集, 包含70个类别, 每类包含20个序列, 突破当前数据集存在的规模小、局限于短时跟踪和存在类别偏见的问题, 是当前最大的具有高质量手动密集注释的跟踪数据集.

本文实验以代表性攻击方法CSA测试防御效果, 旨在最大限度恢复跟踪性能至最佳状态.CSA是一种专为SiameseRPN++设计的对抗攻击方法, 兼具简洁性和高效性, 并涵盖多种攻击策略.Siamese-RPN++通过置信分数图(热力图)定位目标, 并依据预测的修正量实现精确的尺度估计.CSA通过冷却热力图, 使跟踪器难以锁定目标, 同时将修正量设为极小值, 导致预测的边界框不断缩小, 无法准确框住目标, 实现冷却-缩小预测框的攻击目的.

CSA攻击可分为仅针对搜索区域、仅针对模板、同时针对搜索区域和模板这3种类型, 本文对这3种攻击类型均进行防御研究.

在目标跟踪过程中, 搜索区域至关重要, 它定义在可能的目标出现位置周围进行搜索的范围.大多数跟踪器仅在上一帧目标物体的位置周围进行搜索, 以此确定下一帧目标位置.然而, 这种搜索方法存在局限性, 因为攻击者可能利用扰动生成器对搜索区域进行攻击, 从而干扰跟踪器的正常工作.定义CSA-S为一种针对搜索区域的对抗攻击方法, 将扰动生成器应用于搜索区域, 从而影响跟踪器的性能.

针对搜索区域攻击, 本文采用STIC-S防御策略, 也仅针对搜索区域进行对应防御.搜索区域在目标跟踪过程中始终存在, 因此针对该类型的攻击防御极具挑战性.尽管如此, STIC-S在防御方面取得一定成效.在OTB100、VOT2018、GOT-10k、LaSOT数据集上, STIC-S均使各评估指标得到显著提升, 具体结果如表1所示.由表可见, 在OTB100数据集上, STIC-S的精度提升2.7%.在VOT2018数据集上, STIC-S的准确率提升3.7%, 鲁棒性也从2.074降至1.470, 这表明跟踪器的稳定性得到提升.此外, 在GOT-10k数据集上, STIC-S在阈值为0.5时的成功率也提升6.0%.在LaSOT数据集上, STIC-S针对CSA搜索区域的防御也表现出色, 精度提升5.2%, 归一化精度提升5.0%, 防御效果显著.这些实验结果有力展示STIC-S防御方法对仅攻击搜索区域的CSA-S攻击方法具有防御效果.

表1

Table 1

表1(Table 1)

表1 防御搜索区域结果对比 Table 1 Result comparison of defending search areas 数据集 指标 原始图像 CSA-S STIC-S 相比CSA-S提升值 OTB100 成功率 精度 0.696 0.914 0.416 0.573 0.428 0.600 0.012 0.027 VOT2018 准确率 鲁棒性 期望平均重叠率 0.600 0.234 0.414 0.486 2.074 0.073 0.523 1.470 0.105 0.037 0.604 0.032 GOT-10k 平均重叠率 成功率(阈值0.5) 成功率(阈值0.7) 0.517 0.615 0.329 0.230 0.214 0.071 0.278 0.274 0.101 0.048 0.060 0.030 LaSOT 成功率 归一化精度 精度 0.733 0.800 0.694 0.182 0.221 0.176 0.221 0.271 0.228 0.039 0.050 0.052

表1 防御搜索区域结果对比 Table 1 Result comparison of defending search areas

模板是从视频序列初始帧中裁剪的图像, 为后续的跟踪过程提供目标的外观信息.模板与初始帧相关, 因此也是后续跟踪过程中关键的一环.定义CSA-T为针对模板的对抗攻击方法.具体地, 攻击者在模板中插入扰动生成器, 干扰跟踪器的正常工作.这种攻击方式针对跟踪器中用于目标识别的外观信息, 因此对目标跟踪方法具有较大威胁.STIC-T针对模板攻击进行防御, 减少扰动生成器对目标跟踪的影响.CSA-T和STIC-T结果对比如表2所示.

表2

Table 2

表2(Table 2)

表2 防御模板结果对比 Table 2 Result comparison of defending templates 数据集 指标 原始图像 CSA-T STIC-T 相比CSA-T提升值 OTB100 成功率 精度 0.696 0.914 0.527 0.714 0.564 0.736 0.037 0.022 VOT2018 准确率 鲁棒性 期望平均重叠率 0.600 0.234 0.414 0.541 1.147 0.123 0.571 1.049 0.146 0.030 0.098 0.023 GOT-10k 平均重叠率 成功率(阈值0.5) 成功率(阈值0.7) 0.517 0.615 0.329 0.242 0.444 0.181 0.390 0.498 0.219 0.148 0.054 0.038

表2 防御模板结果对比 Table 2 Result comparison of defending templates

由表2可见, STIC-T防御方法对于CSA-T攻击具有有效的防御效果.在OTB100数据集上, STIC-T的成功率提升3.7%; 在VOT2018数据集上, STIC-T的准确率提升3.0%; 在GOT-10k数据集上, STIC-T的平均重叠率提升14.8%, 阈值为5%时的成功率也提升5.4%.这些数据表明, STIC-T防御方法对于跟踪器的整体跟踪效果提升明显, 体现其防御的有效性.相比仅防御搜索区域的STIC-S, STIC-T在各数据集的指标值都高于STIC-S, 这进一步说明对于模板的防御效果更显著.

进一步, 本文设计一种同时防御搜索区域和模板的策略STIC-TS.CSA-TS采用同时攻击搜索区域和模板的策略, 将相同的扰动生成器同时应用于搜索区域和模板, 实现全面攻击, 详细结果如表3所示.由表可见, 在OTB100数据集上, STIC-TS防御方法成功率和精度分别提升24.4%和27.9%, 接近原始图像水平.在VOT2018数据集上, STIC-TS防御后的准确率59.1%与原始图像准确率60%几乎一致, 显示STIC-TS对准确率的防御效果可达到原始图像水平.在GOT-10k数据集上, 平均重叠率从攻击后的24.2%提升至40.7%, 阈值为0.5时的成功率提高25.7%, 阈值为0.7时的成功率从7.2%上升至23.3%, 达到接近原始图像水平.

表3

Table 3

表3(Table 3)

表3 同时防御搜索区域和模板结果对比 Table 3 Result comparison of defending search areas and templates 数据集 指标 原始图像 CSA-TS STIC-TS 相比CSA-TS提升值 OTB100 成功率 精度 0.696 0.914 0.323 0.470 0.567 0.749 0.244 0.279 VOT2018 准确率 鲁棒性 期望平均重叠率 0.600 0.234 0.414 0.467 2.013 0.073 0.591 0.749 0.178 0.124 1.264 0.105 GOT-10k 平均重叠率 成功率(阈值0.5) 成功率(阈值0.7) 0.517 0.615 0.329 0.242 0.223 0.072 0.407 0.480 0.232 0.165 0.257 0.160 LaSOT 成功率 归一化精度 精度 0.733 0.800 0.694 0.173 0.206 0.176 0.238 0.290 0.249 0.065 0.084 0.073

表3 同时防御搜索区域和模板结果对比 Table 3 Result comparison of defending search areas and templates

CSA-TS和STIC-TS防御跟踪的结果如图4所示, 绿框为CSA-TS攻击后跟踪结果, 红框为STIC-TS防御后跟踪结果.

图4

Fig.4

	Figure Option ViewDownloadNew Window
	图4 CSA-TS和STIC-TS防御跟踪结果Fig.4 Defense tracking results of CSA-TS and STIC-TS

通过对比预测的包围框可发现, CSA-TS会导致包围框缩小并偏离目标位置.相比之下, STIC-TS的防御策略成功恢复包围框的大小, 并还原至原始目标位置, 从而显著提升跟踪效果, 实现预期的防御目标.

雷达图展示各攻击方法与防御方法在VOT-2018数据集上的属性对比结果, 具体如图5所示.由图可见, STIC-TS在VOT2018数据集上的表现显著优于其它方法, 其次为STIC-T.但STIC-T与CSA-T在遮挡指标上非常接近, 可能是因为只防御模板攻击, 对后续帧出现的遮挡没有优化防御作用.

图5

Fig.5

	Figure Option ViewDownloadNew Window
	图5 各攻击方法和防御方法在VOT2018数据集上的属性对比雷达图Fig.5 Attribute comparison of different attack methods and defense methods on VOT2018 dataset

各方法在OTB100数据集上的成功率与精度对比如图6所示.

图6

Fig.6

	Figure Option ViewDownloadNew Window
	图6 各攻击方法和防御方法在OTB100数据集上的成功率和精度结果Fig.6 Success rates and precision of different attack methods and defense methods on OTB100 dataset

由图6可见, STIC-TS防御方法表现最优, 但与STIC-T非常接近.攻击性最强的仍然是CSA-TS, 突显STIC-TS的强大防御能力.同时防御搜索区域和模板可显著提升防御效果, 优于单一防御策略.这可能是因为STIC-TS对更强攻击具有更强的防御效果.单一攻击只能获得单一防御, 交并比分数的优化也只针对一种, 对搜索区域和模板同时进行交并比分数的优化会获得更优的防御效果.

本文通过添加最佳约束进行防御, 约束的大小通过l₂范数进行衡量, 本文分别将最佳约束l₂范数最大值设置为1 000, 5 000, 10 000, 150 000, 不同约束大小对最终防御效果的影响如表4所示.由表可见, 最终选取的约束大小为10 000.

表4

Table 4

表4(Table 4)

表4 不同程度的防御效果对比 Table 4 Comparison of defense effects of different degrees 方法 l2范数最大值 VOT2018 OTB100 准确率 鲁棒性 期望平均重叠率 成功率 精度 CSA-TS - 对抗 0.467 2.013 0.073 0.323 0.470 STIC 1000 防御 相比CSA-TS提升值 0.476 0.009 1.587 0.796 0.095 0.061 0.384 0.061 0.557 0.087 STIC 5000 防御 相比CSA-TS提升值 0.486 0.019 1.344 0.669 0.116 0.043 0.419 0.096 0.609 0.139 STIC 10000 防御 相比CSA-TS提升值 0.591 0.124 0.749 1.264 0.178 0.105 0.567 0.244 0.749 0.279 STIC 15000 防御 相比CSA-TS提升值 0.519 0.052 1.494 0.519 0.107 0.034 0.466 0.143 0.654 0.184

表4 不同程度的防御效果对比 Table 4 Comparison of defense effects of different degrees

如表4所示, 当约束l₂范数最大值不超过10 000时, 随着最佳约束最大值的增加, STIC防御方法在VOT2018、OTB100数据集上的防御表现变优.然而, 当最大值设置为15 000时, 防御效果会略有下降, 但仍高于最大值为5 000时的指标值.实验数据表明, 在一定范围内, 最佳约束的最大值设置越高, 防御效果越优.然而, 当超过某一阈值时, 继续叠加最佳约束反而会降低防御效果, 导致跟踪性能下降.

具体可视化结果如图7所示, 红框、绿框、黑框、蓝框分别代表l₂范数最大值设置为1 000, 5 000, 10 000, 150 000时的跟踪结果.由图可见, 黑框能较好跟踪到目标, 达到最佳的防御效果, 即本文选取的l₂范数最大值, 而l₂范数最大值为1 000时的红框往往较小, 依然受到较严重的对抗攻击的影响.

图7

Fig.7

	Figure Option ViewDownloadNew Window
	图7 l2范数最大值不同时消融实验结果Fig.7 Ablation experiment results of different maximum l2-norm

在目标跟踪领域, 当前尚缺乏专门针对对抗攻击的防御手段, 因此本文采用经典预处理方法作为防御策略, 包括压缩、降噪和变换手段, 旨在同时防御模板和搜索区域的攻击.这些预处理方法的具体防御效果如表5所示.

表5

Table 5

表5(Table 5)

表5 各方法在2个数据集上的指标值对比 Table 5 Index value comparison of different methods on 2 datasets 方法 VOT2018 OTB100 准确率 鲁棒性 期望平均重叠率 丢包数 成功率 精度 CSA-TS 对抗 0.467 2.013 0.073 299 0.323 0.470 压缩-TS 防御 相比CSA-TS提升值 0.567 0.100 1.217 0.796 0.134 0.061 260 39 0.504 0.181 0.683 0.213 降噪-TS 防御 相比CSA-TS提升值 0.565 0.098 1.222 0.791 0.132 0.059 261 38 0.505 0.182 0.684 0.214 变换-TS 防御 相比CSA-TS提升值 0.567 0.100 1.199 0.814 0.134 0.061 256 43 0.504 0.181 0.684 0.214 STIC-TS 防御 相比CSA-TS提升值 0.591 0.124 0.749 1.264 0.178 0.105 160 139 0.567 0.244 0.749 0.279

表5 各方法在2个数据集上的指标值对比 Table 5 Index value comparison of different methods on 2 datasets

由表5可见, 在VOT2018数据集上, 相比CSA-TS, STIC-TS在准确率上提升12.4%.其它预处理防御方法的提升效果相近, 但均低于STIC-TS.在鲁棒性、期望平均重叠率和丢包数指标上, STIC-TS也均优于其它预处理防御方法.这充分表明STIC-TS防御方法的显著效果.在OTB100数据集上, 各预处理防御方法的成功率与精度表现非常接近.然而, STIC-TS防御方法展现出更出色的防御效果, 相比CSA-TS, 成功率提高24.4%, 精度提升27.9%.相比其它预处理防御方法, STIC-TS的成功率与精度也有所提高, 这进一步验证STIC-TS在目标跟踪任务中的有效性.

实验结果表明, 这些预处理方法对于同时针对模板与搜索区域的攻击具有一定的防御效果, 然而, 相比STIC-TS, 防御效果并不显著.STIC-TS在准确率和精度上均表现出明显优势, 展现其在实际应用中的有效性和优越性.因此, 在实际应用中, 可考虑采用STIC-TS提高目标跟踪的鲁棒性和稳定性, 应对各种潜在的攻击.此外, 本文方法可为其它类似问题提供有益的启示和借鉴.

图8更加直观展现不同防御方法的属性对比效果, 压缩、变换、降噪的防御方法效果较接近, 比攻击后的结果有一定提高, 但是STIC-TS防御效果更优.

图8

Fig.8

	Figure Option ViewDownloadNew Window
	图8 各防御方法在VOT2018数据集上的属性对比雷达图Fig.8 Attribute comparison of different defense methods on VOT2018 dataset