识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 五 )
文章图片
这里我们用函数 T_i( )来表示对齐函数 , 它将物体上的变换映射到扰动的变换上 。
最后 , 攻击者打印出优化结果 , 剪下扰动(M_x) , 并将其放到目标对象 o 上 。
1.3 实验分析
实验构建了两个用于路标分类的分类器 , 执行的是标准的裁剪 - 重新确定大小 - 分类的任务流程 。 第一个分类器 LISA-CNN 对应的实验训练图像来自于 LISA , 一个包含 47 个不同道路标志的美国交通标志数据集 。 不过 , 这个数据集并不平衡 , 导致不同标志的表述有很大差异 。 为了应对这个问题 , 作者根据训练实例的数量 , 选择了 17 个最常见的标志 。 实验中使用的深度学习 LISA-CNN 的架构由三个卷积层和一个 FC 层组成 。 它在测试集上的准确度为 91% 。
第二个分类器是 GTSRB-CNN , 它是在德国交通标志识别基准(GTSRB)上训练得到的 。 深度学习方法使用了一个公开的多尺度 CNN 架构 , 该架构在路标识别方面表现良好 。 由于作者在实际实验中无法获得德国的停车标志 , 因此使用 LISA 中的美国停车标志图像替换了 GTSRB 的训练、验证和测试集中的德国停车标志 。 GTSRB-CNN 在测试集上准确度为 95.7% 。 当在作者自己构建的 181 个停车标志图像上评估 GTSRB-CNN 时 , 它的准确度为 99.4% 。
作者表示 , 据他所知 , 目前还没有评估物理对抗性扰动的标准化方法 。 在本实验中 , 作者主要考虑角度和距离因素 , 因为它们是本文所选的用例中变化最快的元素 。 靠近标志的车辆上的相机以固定的时间间隔拍摄一系列图像 。 这些图像的拍摄角度和距离不同 , 因此可以改变任何特定图像中的细节数量 。 任何成功的物理扰动必须能够在一定的距离和角度范围内引起有针对性的错误分类 , 因为车辆在发出控制器动作之前 , 可能会对视频中的一组帧(图像)进行投票确定 。 在该实验中没有明确控制环境光线 , 从实验数据可以看出 , 照明从室内照明到室外照明都有变化 。 本文实验设计借鉴物理科学的标准做法 , 将上述物理因素囊括在一个由受控的实验室测试和现场测试组成的两阶段评估中 。
静态(实验室)测试 。 主要涉及从静止的、固定的位置对物体的图像进行分类 。
1. 获得一组干净的图像 C 和一组在不同距离、不同角度的对抗性扰动图像 。 使用 c^(d,g)表示从距离 d 和角度 g 拍摄的图像 。 摄像机的垂直高度应保持大致不变 。 当汽车转弯、改变车道或沿着弯曲的道路行驶时 , 摄像机相对于标志的角度通常会发生变化 。
2. 用以下公式计算物理扰动的攻击成功率:
推荐阅读
- 识别|外卖界又一黑科技 饿了么计划2022年覆盖100000顶智能头盔
- 语言识别|AI技术,让我们“听”懂聋人
- AI财经社|美团公布共享单车指纹解锁专利,网友调侃称期待人脸识别解锁
- Huawei|传大众与华为成立合资自动驾驶技术公司 回应称现阶段没有可以确认的消息
- 视点·观察|如何避免社交电商以“经销之名”行“传销之实”
- 模式|华为拍摄月亮专利获授权:可自动识别月亮并对焦
- 广西|秒级核验通行,广西机场推广刷身份证自动核验健康码
- 澎湃新闻|如何避免社交电商以“经销之名”行“传销之实”
- IT|达拉斯希望成为福特下一个自动驾驶汽车工厂的所在地
- 界面新闻|华为月亮拍摄专利获授权,可自动识别月亮并对焦