识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 四 )
为了更好地捕捉变化的物理条件的影响 , 作者通过生成包含实际物理条件变化的实验数据以及合成转换 , 从 X^V 中对实例 x_i 进行采样 。 图 3 中给出了以道路标识为例的鲁棒物理攻击(Robust Physical Perturbations, RP2)过程示例 。
文章图片
图 3. RP2 示例 。 输入一个目标停止标志 。 RP2 从一个模拟物理动态的分布中取样(在本例中是不同的距离和角度) , 并使用一个掩模将计算出的扰动投射到一个类似于涂鸦的形状上 。 攻击者打印出所产生的扰动 , 并将其贴在目标停止标志上 。
本文所讨论的道路标志的物理条件涉及在各种条件下拍摄道路标志的图像 , 如改变距离、角度和光照等 。 而对于合成转换 , 作者随机裁剪图像中的物体 , 改变其亮度 , 并增加空间变换以模拟其他可能的条件 。 为了确保扰动只适用于目标对象的表面区域 o(考虑到空间限制和对不可知性的物理限制) , 作者引入了一个掩模 。 该掩模的作用是将计算出的扰动投射到物体表面的一个物理区域(如路标) 。 除了实现空间定位外 , 掩模还有助于生成对人类观察者来说可见但不明显的扰动 。 为了做到这一点 , 攻击者可以将掩模塑造得像一个涂鸦—- 一种在大街上很常见的破坏行为 。 从形式上看 , 将扰动掩模表征为一个矩阵 M_x , 其尺寸与路标分类器的输入尺寸相同 。 M_x 在没有添加扰动的区域为“0” , 在优化期间添加扰动的区域中为“1” 。 作者表示 , 在他们进行实验的过程中发现掩模的位置对攻击的有效性是有影响的 。 因此 , 作者假设 , 从分类的角度来看物体的物理特征有强有弱 , 因此 , 可以将掩模定位在攻击薄弱的地方 。 具体来说 , 作者使用下述方法来发现掩模位置 。 (1) 使用 L1 正则化计算扰动 , 并使用占据整个道路标志表面区域的掩模 。 L1 使优化器倾向于稀疏的扰动向量 , 因此将扰动集中在最脆弱的区域 。 对所产生的扰动进行可视化处理 , 为掩模的放置位置提供指导 。 (2) 使用 L2 重新计算扰动 , 并将掩模定位在先前步骤中确定的脆弱区域上 。
考虑到在实际应用中会存在制造误差 , 作者在目标函数中增加了一个额外的项 , 该项用来模拟打印机的颜色复制误差 。 给定一组可打印的颜色(RGB 三元组)P 和一组在扰动中使用的、需要在物理世界中打印出来的(唯一的)RGB 三元组 R(δ) , 利用下式计算不可打印性得分 non-printability score (NPS):
文章图片
基于上述讨论 , 本文最终的鲁棒空间约束扰动优化为:
推荐阅读
- 识别|外卖界又一黑科技 饿了么计划2022年覆盖100000顶智能头盔
- 语言识别|AI技术,让我们“听”懂聋人
- AI财经社|美团公布共享单车指纹解锁专利,网友调侃称期待人脸识别解锁
- Huawei|传大众与华为成立合资自动驾驶技术公司 回应称现阶段没有可以确认的消息
- 视点·观察|如何避免社交电商以“经销之名”行“传销之实”
- 模式|华为拍摄月亮专利获授权:可自动识别月亮并对焦
- 广西|秒级核验通行,广西机场推广刷身份证自动核验健康码
- 澎湃新闻|如何避免社交电商以“经销之名”行“传销之实”
- IT|达拉斯希望成为福特下一个自动驾驶汽车工厂的所在地
- 界面新闻|华为月亮拍摄专利获授权,可自动识别月亮并对焦