识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 三 )
为了成功地对深度学习分类器进行物理攻击 , 攻击者应该考虑到下述几类可能会降低扰动效果的物理世界变化 。
环境条件 。 自主车辆上的摄像头与路标的距离和角度不断变化 。 获取到的被送入分类器的图像是在不同的距离和角度拍摄的 。 因此 , 攻击者在路标上添加的任何扰动都必须能够抵抗图像的这些转换 。 除角度和距离外 , 其他环境因素还包括照明 / 天气条件的变化以及相机上或路标上存在的碎片 。
空间限制 。 目前专注于数字图像的算法会将对抗性扰动添加到图像的所有部分 , 包括背景图像 。 然而 , 对于实体路牌 , 攻击者并不能操纵背景图像 。 此外 , 攻击者也不能指望有一个固定的背景图像 , 因为背景图像会根据观看摄像机的距离和角度而变化 。
不易察觉性的物理限制 。 目前对抗性深度学习算法的一个优点是 , 它们对数字图像的扰动往往非常小 , 以至于人类观察者几乎无法察觉 。 然而 , 当把这种微小的扰动迁移到现实世界时 , 我们必须确保摄像机能够感知这些扰动 。 因此 , 对不可察觉的扰动是有物理限制的 , 并且取决于传感硬件 。
制造误差 。 为了实际制造出计算得到的扰动 , 所有的扰动值都必须是可以在现实世界中复制实现的 。 此外 , 即使一个制造设备 , 如打印机 , 确实能够产生某些颜色 , 但也会有一些复制误差 。
1.2 生成鲁棒的物理扰动
作者首先分析不考虑其它物理条件的情况下生成单一图像扰动的优化方法 , 然后再考虑在出现上述物理世界挑战的情况下如何改进算法以生成鲁棒的物理扰动 。
单一图像优化问题表述为:在输入 x 中加入扰动δ , 使扰动后的实例 x’=x+δ能够被目标分类器 f_θ(·)错误分类:
文章图片
其中 , H 为选定的距离函数 , y * 为目标类别 。 为了有效解决上述约束性优化问题 , 作者利用拉格朗日松弛形式重新表述上式:
文章图片
其中 , J(·,·)为损失函数 , 其作用是衡量模型的预测和目标类别标签 y * 之间的差异 。 λ为超参数 , 用于控制失真的正则化水平 。 作者将距离函数 H 表征为 ||δ||_p , 即δ的 Lp 范数 。
接下来 , 作者具体讨论如何修改目标函数以考虑物理环境条件的影响 。 首先 , 对包含目标对象 o 的图像在物理和数字变换下的分布进行建模 X^V。 我们从 X^V 中抽出不同的实例 x_i 。 一个物理扰动只能添加到 x_i 中的特定对象 o 。 具体到路标分类任务中 , 我们计划控制的对象 o 是停车标志 。
推荐阅读
- 识别|外卖界又一黑科技 饿了么计划2022年覆盖100000顶智能头盔
- 语言识别|AI技术,让我们“听”懂聋人
- AI财经社|美团公布共享单车指纹解锁专利,网友调侃称期待人脸识别解锁
- Huawei|传大众与华为成立合资自动驾驶技术公司 回应称现阶段没有可以确认的消息
- 视点·观察|如何避免社交电商以“经销之名”行“传销之实”
- 模式|华为拍摄月亮专利获授权:可自动识别月亮并对焦
- 广西|秒级核验通行,广西机场推广刷身份证自动核验健康码
- 澎湃新闻|如何避免社交电商以“经销之名”行“传销之实”
- IT|达拉斯希望成为福特下一个自动驾驶汽车工厂的所在地
- 界面新闻|华为月亮拍摄专利获授权,可自动识别月亮并对焦