Deep Neural Networks have been shown to be vulnerable to adversarial images. Conventional attacks strive for indistinguishable adversarial images with strictly restricted perturbations. Recently, researchers have moved to explore distinguishable yet non-suspicious adversarial images and demonstrated that color transformation attacks are effective. In this work, we propose Adversarial Color Filter (AdvCF), a novel color transformation attack that is optimized with gradient information in the parameter space of a simple color filter. In particular, our color filter space is explicitly specified so that we are able to provide a systematic analysis of model robustness against adversarial color transformations, from both the attack and defense perspectives. In contrast, existing color transformation attacks do not offer the opportunity for systematic analysis due to the lack of such an explicit space. We further demonstrate the effectiveness of our AdvCF in fooling image classifiers and also compare it with other color transformation attacks regarding their robustness to defenses and image acceptability through an extensive user study. We also highlight the human-interpretability of AdvCF and show its superiority over the state-of-the-art human-interpretable color transformation attack on both image acceptability and efficiency. Additional results provide interesting new insights into model robustness against AdvCF in another three visual tasks.

中文翻译：

---

显式滤色器空间中的对抗性图像颜色变换

深度神经网络已被证明容易受到对抗性图像的影响。常规攻击力求具有严格限制的扰动的无法区分的对抗图像。最近，研究人员开始探索可区分但不可疑的对抗图像，并证明颜色变换攻击是有效的。在这项工作中，我们提出了 Adversarial Color Filter (AdvCF)，这是一种新颖的颜色变换攻击，它在简单滤色器的参数空间中使用梯度信息进行了优化。特别是，我们的滤色器空间是明确指定的，因此我们能够从攻击和防御的角度对模型针对对抗性颜色变换的鲁棒性进行系统分析。相比之下，由于缺乏这样一个明确的空间，现有的颜色转换攻击不提供系统分析的机会。我们进一步证明了我们的 AdvCF 在欺骗图像分类器方面的有效性，并通过广泛的用户研究将其与其他颜色转换攻击的防御鲁棒性和图像可接受性进行了比较。我们还强调了 AdvCF 的人类可解释性，并展示了它在图像可接受性和效率方面优于最先进的人类可解释的颜色变换攻击。其他结果为另外三个视觉任务中针对 AdvCF 的模型稳健性提供了有趣的新见解。我们进一步证明了我们的 AdvCF 在欺骗图像分类器方面的有效性，并通过广泛的用户研究将其与其他颜色转换攻击的防御鲁棒性和图像可接受性进行了比较。我们还强调了 AdvCF 的人类可解释性，并展示了它在图像可接受性和效率方面优于最先进的人类可解释的颜色变换攻击。其他结果为另外三个视觉任务中针对 AdvCF 的模型稳健性提供了有趣的新见解。我们进一步证明了我们的 AdvCF 在欺骗图像分类器方面的有效性，并通过广泛的用户研究将其与其他颜色转换攻击的防御鲁棒性和图像可接受性进行了比较。我们还强调了 AdvCF 的人类可解释性，并展示了它在图像可接受性和效率方面优于最先进的人类可解释的颜色变换攻击。其他结果为另外三个视觉任务中针对 AdvCF 的模型稳健性提供了有趣的新见解。我们还强调了 AdvCF 的人类可解释性，并展示了它在图像可接受性和效率方面优于最先进的人类可解释的颜色变换攻击。其他结果为另外三个视觉任务中针对 AdvCF 的模型稳健性提供了有趣的新见解。我们还强调了 AdvCF 的人类可解释性，并展示了它在图像可接受性和效率方面优于最先进的人类可解释的颜色变换攻击。其他结果为另外三个视觉任务中针对 AdvCF 的模型稳健性提供了有趣的新见解。