识别|避免自动驾驶事故，CV领域如何检测物理攻击？( 二 ) 深度|领域|Attacks|对抗性|攻击

文章图片

图 2. 音频识别和物理对抗性攻击过程
我们在这篇文章中结合三篇最新的论文具体讨论计算机视觉领域中的物理攻击及检测方法，包括视觉领域和音频领域。首先，我们介绍 Kevin Eykholt 等在 CVPR 2018 上发表的关于生成鲁棒物理攻击的工作，其主要目的是生成对观察摄像机的距离和角度的巨大变化具有很强的适应性的物理扰动攻击。然后，第二篇论文提出了一个针对图像和音频识别应用的物理对抗性攻击的 CNN 防御方法。最后，第三篇文章聚焦于图像的局部物理攻击问题，即将对手区域限制在图像的一小部分，例如 “对手补丁” 攻击：

Robust Physical-World Attacks on Deep Learning Visual Classification ， CVPR 2018
LanCe: A Comprehensive and Lightweight CNN Defense Methodology against Physical Adversarial Attacks on Embedded Multimedia Applications ， ASP-DAC 2020
Chou E , F Tramèr, Pellegrino G . SentiNet: Detecting Physical Attacks Against Deep Learning Systems. PrePrint 2020. https://arxiv.org/abs/1812.00292

1、针对深度学习视觉分类任务的鲁棒物理攻击[1]

文章图片

这篇文章重点关注的是如何对计算机视觉任务的深度学习方法进行鲁棒的物理攻击，是从攻击角度进行的分析。作者具体选择了道路标志分类作为目标研究领域。
生成鲁棒的物理攻击所面临的的主要挑战是环境变异性。对于本文选择的应用领域，动态环境变化具体是指观察摄像机的距离和角度。此外，生成物理攻击还存在其他实用性的挑战：(1) 数字世界的扰动幅度可能非常小，由于传感器的不完善，相机很可能无法感知它们。 (2)构建能够修改背景的鲁棒性攻击是非常困难的，因为真实的物体取决于视角的不同可以有不同的背景。 (3)具体制造攻击的过程（如扰动的打印）是不完善的。在上述挑战的启发下，本文提出了 Robust Physical Perturbations（RP2）--- 一种可以产生对观察摄像机的广泛变化的距离和角度鲁棒的扰动方法。本文目标是从攻击角度进行研究，探讨是否能够针对现实世界中的物体创建强大的物理扰动，使得即使是在一系列不同的物理条件下拍摄的图像，也会误导分类器做出错误的预测。
1.1 物理世界的挑战
对物体的物理攻击必须能够在不断变化的条件下存在，并能有效地欺骗分类器。本文具体围绕所选择的道路标志分类的例子来讨论这些条件。本文的研究内容可以应用于自动驾驶汽车和其他安全敏感领域，而本文分析的这些条件的子集也可以适用于其他类型的物理学习系统，例如无人机和机器人。