首頁 文章 物理世界中的对坑样本

物理世界中的对坑样本

2022-09-19 16:51  瀏覽數:1000  來源:小键人8881563    

本文第2.1 和2.2 小节详细介绍了在实验室环境下数字世界的白盒和黑盒的关于图像分类场景下的对抗攻击方法,人
工智能研究社区很多乐观的研究者认为对抗样本仅能存在于数字世界中,物理世界中受光照条件、距离、拍摄角度、曝光程度
、设备差异以及标志遮挡等诸多因素都会导致对抗样本的失效,确实第2 节中的很多对抗攻击方法直接用在物理世界中的攻
击效果大多都不理想,但不幸的是,人工智能安全研究者经过研究发现对抗样本在物理世界中也能成功地攻击深度学习模型。
因此,本小节从自动驾驶、通用目标检测以及图像分类等方面梳理了物理世界中对抗样本的工作,以期为后续的研究者提供一
些研究灵感。表1 对物理世界中的对抗样本攻击进行了总结。Etimov 等人[40]在无人驾驶系统中提出了一种在
物理世界中生成对抗扰动的白盒攻击方法,被称为鲁棒物理扰动(Robust Physical Perturbati
ons, RP2),该方法在一系列的动态物理环境中产生鲁棒的对抗扰动,其中动态物理环境包括距离、角度和分辨率等
物理条件的变化,该方法在无人驾驶系统的道路标识识别系统中实现了很高的欺骗率。文中采用两种方法攻击路标分类模型,
分别是海报(Poster)攻击和贴纸(Sticker)攻击,如图8 所示从左图到右图依次为两种类型的攻击方法,
深度学习模型的分类模型会将“停车”路标识别为限速“60km/h”的路标,这些黑白贴纸模仿了生活中常见的涂鸦,不
容易引起人们的注意,具有很强的隐蔽性,这给使用深度学习模型的无人驾驶系统带来了巨大挑战,可能会导致严重的交通事
故。Kong 等人[41]提出一种基于GAN[47]的PhysGAN方法来生成范数约束的对抗图像,打印后的图像
显示出对物理世界条件的鲁棒性,例如光照条件、视角等变化。PhysGAN 方法专门被设计用来欺骗无人驾驶车的转向
模型,该模型是一个基于回归公式的角度预测问题。PhysGAN 计算驾驶视频的视觉特征流的扰动,但忽略场景的背景
,这样的策略允许对动态场景条件进行有效的扰动,从而避免了文献[40]中静态场景假设的需要。保证自动驾驶安全的重
要感知系统主要由摄像机和激光雷达等组成,以往的对抗攻击的研究大多集中在基于摄像头的感知上,基于激光雷达(LiD
AR)感知的探索很少。Cao 等人首次展示了激光雷达在白盒场景下实现的假点欺骗(Fake Point Spoo
fing)攻击[42],该攻击在模拟场景中取得了很好的攻击效果,然而在真实的道路场景中,实现该攻击需要将攻击装
置动态地对准受害者汽车上的激光雷达,因此对激光发射装置的精度要求非常高。同年内,Cao 等人使用基于梯度的优化
方法,即LiDAR-Adv 攻击方法[43]生成一个3D可打印的物理对抗物体,可以导致激光雷达无法检测到打印出
的3D 对抗物体,因此给激光雷达系统检测障碍物带来了新的挑战。Thys 等人[44]成功的将对抗样本攻击应用到
目标检测模型中,提出了一种行人检测攻击(PedestrianDetection Attack),在白盒环境下,
作者使用对抗补丁(Adversarial Patch)攻击部署的YOLOv2[48]目标检测器,具体做法是使用
40 × 40大小的对抗补丁贴在人的身上,就可以成功避开目标检测器的检测,具体的示例如图9 所示,图像左边没有
对抗补丁的人被目标检测器成功检测出来,图像右边拿着对抗补丁的人成功的攻击了目标检测器,使其被目标检测器忽略掉。
Ho 等人[49]实验研究表明,在对物理世界的物体进行成像时,随着相机的抖动和姿势的变化,可以获得轻易骗过深度
学习模型的图像,该研究中扰动的不可感知性通过语义的形式呈现,即上下文的不可感知性图像中的抖动和姿势看起来很自然
,不易被人察觉。对抗补丁攻击[45]也是一种发动物理世界攻击的有效方法,一个对抗补丁通常是一个清晰可见的图案,
它可以放置在被攻击对象旁边从而导致模型输出错误的结果,具体效果如图10(c)所示,在桌子上香蕉的旁边放置对抗补
丁,图像分类模型以很高的置信度将香蕉误分类为烤面包机。近来,Duan 等人[46]提出了一种基于神经风格迁移技
术[50]的AdvCam 方法来计算不受约束的扰动,这种扰动以伪装目标对象的形式来进行物理世界的攻击,该方法能
够生成比先前工作[40]如图10(a)和[45]如图10(c)更隐秘的扰动,因为生成的扰动对人眼来说更自然,如
图10(b)所示,AdvCam 方法以伪装自然污渍的形式对停车标志添加对抗扰动来攻击深度学习分类模型,如图10
(d)所示,AdvCam 方法在香蕉旁边以伪装产品标签的形式来达到攻击的目的。AdvCam 方法生成的物理世界
的对抗扰动不仅具有很强的隐蔽性,同时对物理世界的各种条件具有很强的鲁棒性和适应性。



聲明:以上文章均為用戶自行添加,僅供打字交流使用,不代表本站觀點,本站不承擔任何法律責任,特此聲明!如果有侵犯到您的權利,請及時聯系我們刪除。

字符:    改为:
去打字就可以设置个性皮肤啦!(O ^ ~ ^ O)