【论文阅读】Adversarial Detection: Attacking Object Detection in Real Time

一、背景

目标检测是无人驾驶以及机器人领域中十分关键的一个子任务,该任务将图像作为输入,检测图像中存在的目标,给定该目标的类别以及用于指示位置的包围框bounding box。针对该任务的攻击大多数使用的是像素级的攻击,该攻击计算开销大且难以部署在现实中。针对这一问题,本文提出了一种小范围的数字扰动攻击,该攻击包括三种模式,分别对应三种类型的目标检测模型,同时还开源设计了一种ROS仿真的演示程序。

在相关工作的部分,作者总结了一下图像攻击的集中模式,根据攻击的方法,作者将图像的攻击分为敌对滤波器(adversarial filter)以及敌对贴片(adversarial patch)。

敌对滤波器

敌对滤波器根据实现方式进一步划分为数字滤波和物理滤波。数字滤波指的是直接从数据层面利用掩码修改整个图像,这种方法十分简单粗暴,但是并不容易部署在现实中,因为获取并替换整个图像的这种攻击方法并不容易实现。而物理滤波同样使用一个掩码,但不同之处在于这种方法需要将制作好的掩码以类似贴纸的形式,贴在摄像头表面,这样子整个相机观测到的所有内容都会被这个物理滤波所干扰。

敌对贴片

贴片指的就简单多了,其实就是在图像中进行攻击的放置。作者同样划分了两类:数字贴片和物理贴片。数字贴片是在原图上进行叠加,而物理贴片则是在场景中真实布置这一贴片。本质上就是一个只能在仿真实验中进行,而另一个可以在真实环境中进行部署。

二、攻击设计

作者进行的是一个白盒攻击,对YOLO V3和V4进行攻击,目标是让模型在没有物体的地方检测出物体。作者首先自己定义了一种叫做敌对叠加(adversarial overlay)的方法,简单来说前面提到的敌对滤波器是对整张图像进行一个扰动的叠加,敌对贴片是对图中的一部分进行扰动和原图的加权求和,而作者提出的敌对叠加是只在一个区域进行扰动。但个人感觉这就是纯炒概念显得高大上。

在攻击的过程中,攻击者需要首先划定一个区域,之后通过迭代的方法,调整区域内的扰动,来最大化目标检测的推理偏离。针对模型的检测目标,作者设计了三种目标函数,分别对应单目标、多目标、多目标无指向:

这三种优化函数针对的分别是一个、多个特定类别的目标检测以及多个不同目标的目标检测,使用的参数本身就是YOLO的输出参数:

所以这个过程实际上就是,攻击者利用ROS的服务器,划定一个区域,在这个区域内,调整扰动并将调整后的图像送入YOLO进行推理,根据推理结果得到优化函数的值,这个值反过来再进行优化,从而实现攻击效果的最大化。

相关推荐
记忆停留w3 小时前
从单体到微服务:Redis 协同 MySQL、Milvus、MinIO 搭建企业级RAG/AI Agent脚手架架构
大数据·人工智能·redis·微服务·ai·架构·milvus
承受失3 小时前
Cloud Agent 开发笔记(4):Skill 与 MCP 集成、项目后记
人工智能·prompt
进击的横打3 小时前
【人工智能】AI基础知识(第七节:RAG)
人工智能
KaMeidebaby3 小时前
卡梅德生物技术快报|抗体亲和力成熟工业化调控新机制:差异性浆细胞增殖工艺优化思路
java·开发语言·人工智能·算法·机器学习·架构·spark
tmlx3I0814 小时前
高光谱拼接算法(六)RANSAC 误匹配剔除
人工智能·算法·机器学习
Mininglamp_27184 小时前
Claude Code 封禁中国开发者之后:本地 AI 编程工具的替代方案实测
开发语言·人工智能·windows·开源软件·ai-native
硅谷秋水5 小时前
World Engine:迈向自动驾驶的后训练时代
人工智能·深度学习·机器学习·计算机视觉·语言模型·自动驾驶
RobinDevNotes5 小时前
PentAGI:全自主 AI 渗透测试代理系统
人工智能
明理的信封5 小时前
AI 基础设施的“去 Python 化“:Rust 与 C# 的两条替代路径
人工智能·python·rust
优橙教育5 小时前
Rano AI智能体技术架构深度解析
人工智能