论文百篇计划第二篇,cvpr2018的一篇文章,引用量1800。作者来自密歇根大学安娜堡分校。

最近的研究表明目前DNN容易收到对抗样本的攻击,理解物理世界中的对抗样本对发展弹性学习算法非常重要。我们提出种通用的攻击算法,Robust Physical Perturbation(RP2),生成鲁棒的对抗样本在不同的物理环境下。针对道路标志牌的攻击表明,我们的物理攻击能够在多种环境条件下实现较高的准确率。由于缺少标准的测试方法,我们提出两阶段的评估方法,包括实验室阶段和野外阶段。通过这种方法,我们评估了有效性,100% 在实验室环境下,84.8%在野外。

1. 介绍

选择道路标志牌的原因:(1) 相对简单,因此更难攻击。(2)存在一个噪声无约束的环境,例如距离和角度。(3)标志牌对道路安全很重要。(4) 攻击者能力有限,攻击不了车辆本身。

在物理噪声环境下,目前的digital-only algorithms产生的噪声可能被破坏。对道路标志牌来说,主要环境变量是距离和角度。其他挑战包括:

(1) 扰动幅度太小导致摄像机捕捉不到。

(2) 目前的攻击占满整个背景,在现实中,背景会随着视角变化。

(3)制造过程的不完美。比如打印过程。

为了创造鲁棒的噪声,我们提出通过实验拘束或者合成的变换,从一个分布中采样,来模拟物理的动态变化(比如距离或者角度)。 pipeline overview如下图所示:

使用提出的算法,我们评估了扰动在物理物体上的有效性,实现表明我们可以使用低成本的技术修改物体,对DNN分类器造成可靠的分类误差。例如我们可以讲物理标识修改成限速标志。我们设计我们的扰动类似于涂鸦,从而不会引起人的怀疑。

由于缺乏一个标准来评估物理攻击,我们提出一种标准:(1) 实验室环境,摄像机在多个距离和视角变化。(2)野外。我们开一辆车驶向十字路口。模拟自动驾驶汽车。我们测试我们的攻击算法使用这个pipeline,发现我们的攻击是鲁棒的。

本文的贡献:

1. 我们提出了一种新的攻击方法用于鲁棒的物理扰动。在一系列动态物理环境下。

2.提出了标准化的评估方法。

3. 我们评估了我们的攻击针对两个标准化的分类架构: LISA- CNN和GTSRB CNN。使用两种攻击(poster 攻击和sticker 攻击), 我们表明poster攻击在静态到达100% 在drive-by达到了80%。

4。 为了证明通用性,我们将一张贴纸放在微波炉上,让其被识别成手机。

2. 相关工作

Kurakin表明打印的对抗样本依然可以被误分类。Athalye和Sutskever提高了这个工作, 生成对抗样本对两个维度的合成变换鲁棒。(参见Anish Athalye, Logan Engstrom, Andrew Ilyas, Kevin Kwok Proceedings of the 35th International Conference on Machine Learning, PMLR 80:284-293, 2018. 引用量1148,打印海龟就是出自这篇文章)本文进一步研究了当环境变化时,攻击的可行性。我们的poster attack类似于Athalye的攻击,但我们进一步探究了sticker攻击。Athalye还3D打印了物体,但主要区别在于:(1)Athelye的工作在优化的过程中主要使用了合成的变换,可能会错过微小的物理影响。我们的工作同时考虑了物理和合成的变换。(2)我们的工作修改了真实大小的物体,(3)我们模拟了更真实的测试条件

Sharif攻击人脸识别系统通过打印眼镜框。他们的工作表明成功的物理攻击在相对稳定的物理条件,包括小的姿态变化,摄像机的距离和角度,光照。但自动驾驶的变化更巨大,因此我们选择固有的无约束的环境条件。

Lu等人通过道路标识牌实验说明道路标识牌的detector不能被攻击成功,在我们的工作中,我们专注于classifier的攻击,表明他们的安全脆弱性。

3. 针对物理目标的攻击

3.1 物理挑战

环境条件: 距离角度,光照,照相机和信号牌的灰尘

空间约束:不能修改背景

物理限制:扰动不能太小,不然摄像机捕捉不到。

制造误差:打印机可能有色差

3.2 鲁棒的物理扰动

原始的目标函数可以写成:

其中J(.,.) 是衡量模型预测和目标标签之间的差别,\gamma是正则化系数。

为了模拟真实的物理变化,我们在优化过程中,从一组真实的照片中采样。对于合成的变化,我们随机裁剪,改变亮度和增加空间变化来仿真其他可能的条件。

为了保证扰动只添加在目标区域,我们引入了一个mask,mask还帮助我们生成对人眼不明显的扰动。为了确定mask的最佳区域,首先用L1损失找到最佳的mask的点,然后用L2损失确定这些点的值。(为什么L1可以减少非零点的个数,可以参看https://zhuanlan.zhihu.com/p/301289487)为了计入制造误差,我们添加了一个不可打印分数NPS(参见sharif)的论文,最终的计算损失函数为

T(.) 是一个对齐函数,将对标识牌的变换同样应用到扰动上。

4. 实验

4.1 实验设计:

数据集采用LISA和GTSRB数据集,这两个数据集都是交通信号的数据集。我们设计了两阶段的评估方法,第一个阶段是实验室环境下,第二个阶段是野外测试。

4.2 实验结果

CVPR2018论文笔记: Robust Physical-World Attacks on Deep Learning Visual Classification相关推荐

  1. [阅读笔记1]Data Poisoning Attacks to Deep Learning BasedRecommender Systems

    个人总结:本文主要通过构造一个毒药模型--用于预测假用户的评分项目,从而构造m个假用户,将假用户注入到推荐系统中,达到影响推荐系统对普通用户的推荐项目(让一个项目能尽可能多的出现在普通用户的推荐列表中 ...

  2. 论文:Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey翻译工作

    **关于对抗性攻击对深度学习威胁的研究** Naveed Akhtar and Ajmal Mian ACKNOWLEDGEMENTS: The authors thank Nicholas Carl ...

  3. 论文笔记:Do We Really Need Deep Learning Models for Time Series Forecasting?

    Do We Really Need Deep Learning Models for Time Series Forecasting? Elsayed S, Thyssens D, Rashed A, ...

  4. 【论文笔记09】Differentially Private Hypothesis Transfer Learning 差分隐私迁移学习模型, ECMLPKDD 2018

    目录导引 系列传送 Differentially Private Hypothesis Transfer Learning 1 Abstract 2 Bg & Rw 3 Setting &am ...

  5. 小样本论文笔记5:Model Based - [6] One-shot learning with memory-augmented neural networks.

    小样本论文笔记5:Model Based - [6] One-shot learning with memory-augmented neural networks 文章目录 小样本论文笔记5:Mod ...

  6. [论文解读] Adversarial Attacks on Deep Learning Models in Natural Language Processing: A Survey

    Adversarial Attacks on Deep Learning Models in Natural Language Processing: A Survey 文章目录 Adversaria ...

  7. 论文笔记《Incorporating Copying Mechanism in Sequence-to-Sequence Learning》

    论文笔记<Incorporating Copying Mechanism in Sequence-to-Sequence Learning> 论文来源:2016 ACL 论文主要贡献:提出 ...

  8. 论文笔记:Decoding Brain Representations by Multimodal Learning of Neural Activity and Visual Features

    论文笔记:Decoding Brain Representations by Multimodal Learning of Neural Activity and Visual Features(通过 ...

  9. 【RS-Attack】Data Poisoning Attacks to Deep Learning Based Recommender Systems NDSS‘21

    Data Poisoning Attacks to Deep Learning Based Recommender Systems NDSS'21 首个在基于深度学习的推荐系统中进行投毒攻击的研究.文 ...

最新文章

  1. flask_sqlalchemy 中 or 、 and 和 like 的用法
  2. UPC2710T放大电路功率增益测试
  3. vmware如何安装solaris10
  4. [源码和文档分享]C语言实现的基于Huffman哈夫曼编码的数据压缩与解压缩
  5. 《Booth 空箱》发售一周年回顾
  6. 二叉树的建立与遍历_51、二叉树遍历-重建二叉树JZ4
  7. 在cmd命令行下编译运行C/C++源文件
  8. c语言文件分屏显示,通用子目录文件显示方法
  9. 如何正确的开始用 Go 编程
  10. 下面是html5中新增的结构元素的是,HTML5的新的结构元素介绍
  11. rdlc 固定前两列每页都显示_现在的大学生,都不会论文排版了
  12. 【Qt教程】2.2 - Qt5 布局管理器(水平、垂直、栅格布局)、弹簧、设计一个登陆界面
  13. [工具类]泛型集合转换为DataTable
  14. ts16949 软件开发流程图_新产品开发流程图:包括APQP,DFMEA,PFMEA,PPAP(FAI),SPC,MSA(GRR)等...
  15. isis安装指南(Liunx版本)+ ASP
  16. 发那科服务器显示021,发那科(FANUC)系统报警代码大全
  17. 【Tools系列】SecureCRT文件传输模式之Zmodem
  18. 明解C语言。初级版 部分练习代码
  19. html修改修改头像业务,修改头像.html
  20. 虚拟机xfs文件系统因根分区爆满损坏修复

热门文章

  1. 2021年中国内地城市轨道交通累计运营线路长度排行榜:新增5个城规交通运营城市,21城城轨交通制式只有地铁(附年榜TOP50详单)
  2. 西井科技拿下首个自动驾驶矿车订单
  3. 【数学】两根距离公式
  4. 管理类联考-英语 : 基础 [ 六 ]
  5. Google之文件系统GFS
  6. 《统计思维:程序员数学之概率统计》学习笔记 Chap.1-2
  7. 2019/8/26 日常学习的一天
  8. 强大的移动端表单开发方案 @alitajs/dform(附视频)
  9. idea 中 gradle 使用
  10. 关于国产数据库表设计PDManer工具的使用