易坊好文馆

  1. 首页 > 玩科技 >

识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 七 )


识别|避免自动驾驶事故,CV领域如何检测物理攻击?
文章图片

表 2. 在 LISA-CNN 上使用海报印刷的停车标志牌(微小攻击)和真正的停车标志牌(伪装的涂鸦攻击 , 伪装的艺术效果攻击)的有针对性的物理扰动实验结果 。 对于每幅图像 , 都显示了前两个标签和它们相关的置信度值 。 错误分类的目标是限速 45 。 图例:SL45 = 限速 45 , STP = 停车 , YLD = 让步 , ADL = 增加车道 , SA = 前方信号 , LE = 车道尽头
作者还对停车标志的扰动进行了驾车测试 。 在基线测试中 , 从一辆行驶中的车辆上记录了两段清洁停车标志的连续视频 , 在 k = 10 时进行帧抓取 , 并裁剪标志 。 此时 , 所有帧中的停止标志都能够正确分类 。 同样用 k=10 来测试 LISA-CNN 的扰动 。 本文攻击对海报攻击实现了 100% 的目标攻击成功率 , 而对伪装抽象艺术效果攻击的目标攻击成功率为 84.8% 。 见表 3 。
识别|避免自动驾驶事故,CV领域如何检测物理攻击?
文章图片

表 3. LISA-CNN 的驾车测试总结 。 在基线测试中 , 所有的帧都被正确地分类为停车标志 。 在所有的攻击案例中 , 扰动情况与表 2 相同 。 手动添加了黄色方框进行视觉提示 。
1.3.2 GTSRB-CNN 的实验结果
为了展示本文所提出的攻击算法的多功能性 , 作者为 GTSRB-CNN 创建并测试了攻击性能(测试集上准确度为 95.7%) 。 表 1 中最后一列为样本图像 。 表 4 给出了攻击结果—在 80% 的静止测试条件下 , 本文提出的攻击使分类器相信停止标志是限速 80 的标志 。 根据本文评估方法 , 作者还进行了驾车测试(k=10 , 两个连续的视频记录) , 最终攻击在 87.5% 的时间里成功欺骗了分类器 。
识别|避免自动驾驶事故,CV领域如何检测物理攻击?
文章图片

表 4. 对 GTSRB-CNN 的伪装艺术效果攻击 。 有针对性的攻击成功率为 80%(真实类别标签:停止 , 目标:限速 80)
1.3.3 Inception v3 的实验结果
最后 , 为了证明 RP2 的通用性 , 作者使用两个不同的物体 , 一个微波炉和一个咖啡杯 , 计算了标准 Inception-v3 分类器的物理扰动情况 。 作者选择了贴纸攻击方法 , 因为使用海报攻击方法为物体打印一个全新的表面很容易引起人的怀疑 。 由于杯子和微波炉的尺寸比路标小 , 作者减少了使用的距离范围(例如 , 咖啡杯高度 - 11.2 厘米 , 微波炉高度 - 24 厘米 , 右转标志高度 - 45 厘米 , 停止标志 - 76 厘米) 。 表 5 给出了对微波炉的攻击结果 , 表 6 则给出了对咖啡杯的攻击结果 。 对于微波炉 , 目标攻击的成功率是 90% 。 对于咖啡杯 , 目标攻击成功率为 71.4% , 非目标成功率为 100% 。

推荐阅读


上一篇:面孔|Nature子刊:未经训练的神经网络也可以进行人脸检测

下一篇:Samsung|三星荷兰“移动合作伙伴”称最新手机很快就要推出