带了个对抗图像块，YOLOv2竟然无法识别我是人( 二 )_选自arxiv作者：SimenThys等机器之心编

卷积神经网络

（CNN）的兴起使得计算机视觉领域取得巨大成功。CNN 在图像上学习时所用的数据驱动端到端流程在大量计算机视觉任务中取得了最优结果。由于这些架构的深度，神经网络能够学习网络底部的基础滤波器，也能学习网络顶层非常抽象的高级特征。

因此，典型 CNN 包含数百万参数。尽管这一方法能够生成非常准确的模型，但其可解释性大大下降。要想准确理解一个网络为何把人分类为人是非常困难的。网络通过观察其他人的大量照片，从而学习到人的长相应该是什么样子。模型评估过程中，我们可以对比输入图像和人物标注图像，从而判断模型在人物检测（person detection）任务上的性能。

但是，用这种方式评估模型只能使我们了解到模型在特定测试集上的性能，而该测试集通常不包含以错误方式控制模型的样本，也不包括用来欺骗模型的样本。这对于不太可能存在攻击的应用是合适的，比如老人跌倒检测，但对安防系统来说，这带来了现实问题。安防系统中人物检测模型如果比较脆弱，则可能会被用于躲避监控摄像头，破坏安保。

本文主要研究人物检测的对抗攻击，它针对常用的 YOLOv2 目标检测器。YOLOv2 是全卷积的模型，其输出网格的分辨率是原始输入分辨率的 1/32。输出网格中每个单元包含五个预测（即「锚点」），其边界框包含不同的宽高比。每个锚点包含向量