【论文阅读】Adversarial Detection: Attacking Object Detection in Real Time
一、背景
目标检测是无人驾驶和机器人技术领域中的一个特别重要的细分领域中的一个环节。此环节接受图像作为输入源,并识别出图像中的物体类别及给出其所属类别标签及定位包围框坐标bound-box坐标。针对这一问题的主要威胁途径多为基于像素级别的对抗方法。这些攻击手段计算量较大且难以实现硬件层面的实际应用。我们提出了一种基于小范围数字扰动的小幅幅值变化优化方案。这种方案包含三种不同的模式设计分别对应三种类型的目标检测模型并提供了基于ROS平台的一套仿真演示工具包供研究者参考。
在相关研究领域中,作者进行了关于图像攻击集中模式的综述,并基于不同的攻击手段将其划分为两种主要类型:对抗性滤波器(adversarial filter)与对抗性贴片(adversarial patch)。
敌对滤波器
根据其实现方式,敌对滤波器可分为数字滤波与物理滤波两类。其中数字滤波方法通过直接作用于图像数据使用特定掩码进行修改,在实际应用中虽然操作简便但难以实现。相比之下,在物理层面的防护机制中,则是将已设计好的保护层以类似胶带形式附着于摄像头表面。这样一来,在这种防护模式下所有被摄像头捕捉到的信息都会受到该物理防护机制的影响。
敌对贴片
这是一种相对简单的技术手段,在图像处理中通过特定的方式进行攻击性操作。研究者将这一技术划分为两类:一种是数字类型的水印(数字贴片),另一种是基于实际场景布置的物理类型(物理贴片)。具体而言,在数字类型中我们通过叠加在原始图像上实现;而物理类型的水印则需要在实际场景中进行布置。前者主要应用于仿真实验环境中的测试分析而后者则适合于真实-world环境下的部署应用。
二、攻击设计
研究人员实施了一种白盒攻击策略,并对该研究平台上的YOLO V3及后续版本(YOLO V4)展开测试。其目标是在空无一物的场景下诱导模型生成物体检测结果。为了提高对抗效果的研究深度,作者首先自己定义了一种叫做敌对叠加(adversarial overlay)的方法。传统滤波器会对整个图像施加扰动以达到干扰效果,在本研究中我们采用了一种更为精确的方式——仅在特定区域施加扰动技术。然而这种方法的实际应用价值仍需进一步验证。
在攻击过程中,在线攻击者首先需要划定一个区域边界,在随后的逐步迭代过程中,在线攻击者将对区域内产生的扰动进行有意识地调整以最大限度地使推理结果的偏离程度达到最大值。针对模型检测中的关键指标定义问题,在此研究中作者提出了三种不同的优化框架:分别为单目标优化、多目标优化以及多目标无指向优化:
这三种优化函数应用于一个、多个特定类别的目标检测以及多种不同目标的目标检测,并且使用的参数本身就是YOLO的输出参数:
这一过程实际上就是说:攻击者借助ROS服务器划分一个区域,在区域内通过调整扰动,并将处理后的图像输入到YOLO系统中进行推理分析。随后通过推理结果计算出优化函数的具体数值。接着将这一数值用于进一步优化工作流程。最终完成整个攻击目标的最大化实现。
