识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 六 )
文章图片
其中 , d 和 g 表示图像的相机距离和角度 , y 是地面真值 , y 是目标攻击类别 。
注意 , 只有当具有相同相机距离和角度的原始图像 c 能够正确分类时 , 引起错误分类的图像 A(c)才被认为是成功的攻击 , 这就确保了错误分类是由添加的扰动而不是其他因素引起的 。
驾车(现场)测试 。 作者在一个移动的平台上放置一个摄像头 , 并在真实的驾驶速度下获取数据 。 在本文实验中 , 作者使用的是一个安装在汽车上的智能手机摄像头 。
1. 在距离标志约 250 英尺处开始录制视频 。 实验中的驾驶轨道是直的 , 没有弯道 。 以正常的驾驶速度驶向标志 , 一旦车辆通过标志就停止记录 。 实验中 , 速度在 0 英里 / 小时和 20 英里 / 小时之间变化 。 这模拟了人类司机在大城市中接近标志的情况 。
2. 对 "Clean" 标志和施加了扰动的标志按上述方法进行录像 , 然后应用公式计算攻击成功率 , 这里的 C 代表采样的帧 。
由于性能限制 , 自主车辆可能不会对每一帧进行分类 , 而是对每 j 个帧进行分类 , 然后进行简单的多数投票 。 因此 , 我们面临的问题是确定帧(j)的选择是否会影响攻击的准确性 。 在本文实验中使用 j = 10 , 此外 , 作者还尝试了 j=15 。 作者表示 , 这两种取值情况下没有观察到攻击成功率的任何明显变化 。 作者推断 , 如果这两种类型的测试都能产生较高的成功率 , 那么在汽车常见的物理条件下 , 该攻击很可能是成功的 。
1.3.1 LISA-CNN 的实验结果
作者通过在 LISA-CNN 上生成三种类型的对抗性示例来评估算法的有效性(测试集上准确度为 91%) 。 表 1 给出了实验中用到的静止的攻击图像的样本示例 。
文章图片
表 1. 针对 LISA-CNN 和 GTSRB-CNN 的物理对抗性样本示例
对象受限的海报打印攻击(Object-Constrained Poster-Printing Attacks) 。 实验室使用的是 Kurakin 等人提出的攻击方法[4] 。 这两种攻击方法的关键区别在于 , 在本文攻击中 , 扰动被限制在标志的表面区域 , 不包括背景 , 并且对大角度和距离的变化具有鲁棒性 。 根据本文的评估方法 , 在实验 100% 的图像中停车标志都被错误地归类为攻击的目标类别(限速 45) 。 预测被操纵的标志为目标类别的平均置信度为 80.51%(表 2 的第二列) 。
贴纸攻击(Sticker Attacks) , 作者还展示了通过将修改限制在类似涂鸦或艺术效果的区域中 , 以贴纸的形式产生物理扰动的有效性 。 表 1 的第四列和第五列给出了这类图像样本 , 表 2(第四列和第六列)给出了实验成功率与置信度 。 在静止状态下 , 涂鸦贴纸攻击达到了 66.67% 的定向攻击成功率 , 伪装艺术效果贴纸攻击则达到了 100% 的定向攻击成功率 。
推荐阅读
- 识别|外卖界又一黑科技 饿了么计划2022年覆盖100000顶智能头盔
- 语言识别|AI技术,让我们“听”懂聋人
- AI财经社|美团公布共享单车指纹解锁专利,网友调侃称期待人脸识别解锁
- Huawei|传大众与华为成立合资自动驾驶技术公司 回应称现阶段没有可以确认的消息
- 视点·观察|如何避免社交电商以“经销之名”行“传销之实”
- 模式|华为拍摄月亮专利获授权:可自动识别月亮并对焦
- 广西|秒级核验通行,广西机场推广刷身份证自动核验健康码
- 澎湃新闻|如何避免社交电商以“经销之名”行“传销之实”
- IT|达拉斯希望成为福特下一个自动驾驶汽车工厂的所在地
- 界面新闻|华为月亮拍摄专利获授权,可自动识别月亮并对焦