识别|避免自动驾驶事故,CV领域如何检测物理攻击?( 八 )
文章图片
表 5. 对 Inception-v3 分类器的贴纸扰动攻击 。 原始分类是微波 , 攻击目标是电话
文章图片
表 6. 对 Inception-v3 分类器的贴纸扰动攻击 。 原始分类是咖啡杯 , 攻击目标是提款机
1.3.4 讨论
黑盒攻击 。 考虑到对目标分类器的网络结构和模型权重的访问 , RP2 可以产生各种强大的物理扰动来欺骗分类器 。 通过研究像 RP2 这样的白盒攻击 , 我们可以分析使用最强攻击者模型的成功攻击的要求 , 并更好地指导未来的防御措施 。 在黑盒环境下评估 RP2 是一个开放的问题 。
图像裁剪和攻击性检测器 。 在评估 RP2 时 , 作者每次在分类前都会手动控制每个图像的裁剪 。 这样做是为了使对抗性图像与提供给 RP2 的清洁标志图像相匹配 。 随后 , 作者评估了使用伪随机裁剪的伪装艺术效果攻击 , 以保证至少大部分标志在图像中 。 针对 LISA-CNN , 我们观察到平均目标攻击率为 70% , 非目标攻击率为 90% 。 针对 GTSRB-CNN , 我们观察到平均目标攻击率为 60% , 非目标攻击率为 100% 。 作者在实验中考虑非目标攻击的成功率 , 是因为导致分类器不输出正确的交通标志标签仍然是一种安全风险 。 虽然图像裁剪对目标攻击的成功率有一定的影响 , 但作者在其它工作中的研究结果表明 , RP2 的改进版可以成功地攻击物体检测器 , 在这种情况下就不需要再进行裁剪处理了[5] 。
2、LanCe: 针对嵌入式多媒体应用的物理对抗性攻击的全面和轻量级 CNN 防御方法[2]
文章图片
与关注 “攻击” 的上一篇文章不同 , 这篇文章关注的是“防御” 。 本文提出了:LanCe—一种全面和轻量级的 CNN 防御方法 , 以应对不同的物理对抗性攻击 。 通过分析和论证 CNN 存在的漏洞 , 作者揭示了 CNN 的决策过程缺乏必要的 * 定性语义辨别能力 *(qualitative semantics distinguishing ability):输入的非语义模式可以显著激活 CNN 并压倒输入中的其它语义模式 , 其中 , 语义模式是指表示语句成分之间的语义关系的抽象格式 , 而非语义模式是指不包含任何语义关系信息的抽象格式 。 利用对抗性攻击的特征不一致性 , 作者增加了一个自我验证阶段来改进 CNN 的识别过程 。 回顾图 1 , 对于每张输入图像 , 经过一次 CNN 推理后 , 验证阶段将定位重要的激活源(绿圈) , 并根据预测结果计算出输入语义与预期语义模式的不一致性(右圈) 。 一旦不一致性值超过预定的阈值 , CNN 将进行数据恢复过程以恢复输入图像 。 我们的防御方法涉及最小的计算组件 , 可以扩展到基于 CNN 的图像和音频识别场景 。
推荐阅读
- 识别|外卖界又一黑科技 饿了么计划2022年覆盖100000顶智能头盔
- 语言识别|AI技术,让我们“听”懂聋人
- AI财经社|美团公布共享单车指纹解锁专利,网友调侃称期待人脸识别解锁
- Huawei|传大众与华为成立合资自动驾驶技术公司 回应称现阶段没有可以确认的消息
- 视点·观察|如何避免社交电商以“经销之名”行“传销之实”
- 模式|华为拍摄月亮专利获授权:可自动识别月亮并对焦
- 广西|秒级核验通行,广西机场推广刷身份证自动核验健康码
- 澎湃新闻|如何避免社交电商以“经销之名”行“传销之实”
- IT|达拉斯希望成为福特下一个自动驾驶汽车工厂的所在地
- 界面新闻|华为月亮拍摄专利获授权,可自动识别月亮并对焦