【论文阅读】Adversarial Detection: Attacking Object Detection in Real Time

一、背景

目标检测是无人驾驶以及机器人领域中十分关键的一个子任务,该任务将图像作为输入,检测图像中存在的目标,给定该目标的类别以及用于指示位置的包围框bounding box。针对该任务的攻击大多数使用的是像素级的攻击,该攻击计算开销大且难以部署在现实中。针对这一问题,本文提出了一种小范围的数字扰动攻击,该攻击包括三种模式,分别对应三种类型的目标检测模型,同时还开源设计了一种ROS仿真的演示程序。

在相关工作的部分,作者总结了一下图像攻击的集中模式,根据攻击的方法,作者将图像的攻击分为敌对滤波器(adversarial filter)以及敌对贴片(adversarial patch)。

敌对滤波器

敌对滤波器根据实现方式进一步划分为数字滤波和物理滤波。数字滤波指的是直接从数据层面利用掩码修改整个图像,这种方法十分简单粗暴,但是并不容易部署在现实中,因为获取并替换整个图像的这种攻击方法并不容易实现。而物理滤波同样使用一个掩码,但不同之处在于这种方法需要将制作好的掩码以类似贴纸的形式,贴在摄像头表面,这样子整个相机观测到的所有内容都会被这个物理滤波所干扰。

敌对贴片

贴片指的就简单多了,其实就是在图像中进行攻击的放置。作者同样划分了两类:数字贴片和物理贴片。数字贴片是在原图上进行叠加,而物理贴片则是在场景中真实布置这一贴片。本质上就是一个只能在仿真实验中进行,而另一个可以在真实环境中进行部署。

二、攻击设计

作者进行的是一个白盒攻击,对YOLO V3和V4进行攻击,目标是让模型在没有物体的地方检测出物体。作者首先自己定义了一种叫做敌对叠加(adversarial overlay)的方法,简单来说前面提到的敌对滤波器是对整张图像进行一个扰动的叠加,敌对贴片是对图中的一部分进行扰动和原图的加权求和,而作者提出的敌对叠加是只在一个区域进行扰动。但个人感觉这就是纯炒概念显得高大上。

在攻击的过程中,攻击者需要首先划定一个区域,之后通过迭代的方法,调整区域内的扰动,来最大化目标检测的推理偏离。针对模型的检测目标,作者设计了三种目标函数,分别对应单目标、多目标、多目标无指向:

这三种优化函数针对的分别是一个、多个特定类别的目标检测以及多个不同目标的目标检测,使用的参数本身就是YOLO的输出参数:

所以这个过程实际上就是,攻击者利用ROS的服务器,划定一个区域,在这个区域内,调整扰动并将调整后的图像送入YOLO进行推理,根据推理结果得到优化函数的值,这个值反过来再进行优化,从而实现攻击效果的最大化。

相关推荐
riveting1 分钟前
技术突破引领应用革新:RK3506 开发板的嵌入式革命
人工智能·物联网·制造·明远智睿·rk3506
Lntano__y17 分钟前
详细分析大语言模型attention的计算复杂度,从数学角度分析
人工智能·语言模型·自然语言处理
法迪31 分钟前
【学习】Linux 内核中的 cgroup freezer 子系统
人工智能·opencv·计算机视觉
魔乐社区31 分钟前
OpenAI重新开源!gpt-oss-20b适配昇腾并上线魔乐社区
人工智能·gpt·深度学习·开源·大模型
用户5191495848451 小时前
WordPress开放嵌入自动发现功能中的XSS漏洞分析
人工智能·aigc
失散132 小时前
自然语言处理——03 RNN及其变体
人工智能·rnn·自然语言处理·gru·lstm
Jinkxs2 小时前
告别人工建模:AI 自动化 ETL 工具对比,数据 pipeline 搭建时间缩短 60% 的实践
人工智能·自动化·etl
B612 little star king2 小时前
UNIKGQA论文笔记
论文阅读·人工智能·笔记·自然语言处理·知识图谱
BertieHuang2 小时前
(一)深入源码,从 0 到 1 实现 Cursor
人工智能·python·程序员
reddish2 小时前
用大模型“语音指挥”网站运维?MCP + Coze 实现无代码自动化管理实战
人工智能·程序员·架构