[论文解读] Note on Attacking Object Detectors with Adversarial Stickers
本文提出了一种物理对抗贴纸攻击方法,通过在真实世界物体(如停车标志)上应用小型可打印扰动,成功欺骗了 YOLO 和 Faster-RCNN 目标检测器。该方法采用基于优化的算法,模拟多样的物理条件并强制实现平移不变性,在真实世界约束下,于静态图像和动态视频场景中均实现了高成功率。
Deep learning has proven to be a powerful tool for computer vision and has seen widespread adoption for numerous tasks. However, deep learning algorithms are known to be vulnerable to adversarial examples. These adversarial inputs are created such that, when provided to a deep learning algorithm, they are very likely to be mislabeled. This can be problematic when deep learning is used to assist in safety critical decisions. Recent research has shown that classifiers can be attacked by physical adversarial examples under various physical conditions. Given the fact that state-of-the-art objection detection algorithms are harder to be fooled by the same set of adversarial examples, here we show that these detectors can also be attacked by physical adversarial examples. In this note, we briefly show both static and dynamic test results. We design an algorithm that produces physical adversarial inputs, which can fool the YOLO object detector and can also attack Faster-RCNN with relatively high success rate based on transferability. Furthermore, our algorithm can compress the size of the adversarial inputs to stickers that, when attached to the targeted object, result in the detector either mislabeling or not detecting the object a high percentage of the time. This note provides a small set of results. Our upcoming paper will contain a thorough evaluation on other object detectors, and will present the algorithm.
研究动机与目标
- 研究最先进的目标检测器(如 YOLO 和 Faster-RCNN)对物理对抗样本的脆弱性。
- 开发一种方法,生成在真实世界物理条件(如光照变化、视角变化和运动模糊)下有效的鲁棒、可打印的对抗贴纸。
- 在黑箱设置下,评估对抗贴纸从 YOLO 向其他检测器(如 Faster-RCNN)的可迁移性。
- 证明尽管目标检测器比分类器更具鲁棒性,但仍可能被精心设计的物理扰动所欺骗。
提出的方法
- 基于优化的算法通过扰动目标物体(如停车标志)的像素,以最大化目标检测器的误分类或非检测,从而生成对抗贴纸。
- 该算法整合了对多种物理条件(如相机角度、光照变化和运动模糊)的模拟,以确保在真实世界部署中的鲁棒性。
- 显式地强制实现平移不变性,使扰动在物体在场景中位置或方向发生变化时仍保持有效性。
- 该方法利用可迁移性,使用为 YOLO 生成的同一组对抗贴纸攻击 Faster-RCNN 这一不同的检测器。
- 将扰动压缩为小型可打印贴纸,并实际粘贴于真实物体上,以测试其在真实世界中的有效性。
- 通过使用手机摄像头拍摄的静态图像和视频序列对方法进行验证,模拟自动驾驶场景。
实验结果
研究问题
- RQ1在真实物理条件下,物理对抗贴纸能否有效欺骗 YOLO 这类实时目标检测器?
- RQ2为 YOLO 设计的对抗贴纸在黑箱设置下向其他检测器(如 Faster-RCNN)的可迁移性达到何种程度?
- RQ3在优化过程中包含物理条件模拟,如何提升对抗贴纸在真实世界部署中的鲁棒性?
- RQ4当目标物体在场景中移动或位置改变时,平移不变扰动是否仍能保持高攻击成功率?
- RQ5在动态视频场景中,特别是在自动驾驶背景下,对抗贴纸的性能如何?
主要发现
- 在不同相机角度和光照条件下,对抗贴纸在 100% 的静态图像测试中成功导致 YOLO 将停车标志误标或完全未检测到。
- 在动态视频序列中,YOLO 仅在相机距离目标几英尺范围内才检测到停车标志,表明在真实世界条件下响应时间存在关键延迟。
- 相同的贴纸在欺骗 Faster-RCNN 时也实现了高成功率,证明了即使在黑箱攻击下,该方法仍具备有效的可迁移性。
- 算法中包含的物理条件模拟和平移不变性显著提升了对抗贴纸的鲁棒性和真实世界有效性。
- 当目标物体在场景中移动或被重新定位时,攻击仍保持有效,证实了在优化过程中引入平移不变性的重要性。
- 结果表明,尽管目标检测器比分类器更具韧性,但仍可能被精心设计的物理对抗样本所欺骗。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。