原文地址:An Asterisk-shaped Patch Attack for Object Detection | IEEE Conference Publication | IEEE Xplore
author={Fashan Dong and Binyue Deng and Haiyang Yu and Wenrong Xie and Huawei Xu and Zhaoquan Gu},
title={An Asterisk-shaped Patch Attack for Object Detection},
一、介绍
本文提出了一种能够有效攻击当前主流目标检测器的星形对抗性补丁生成算法。具体地说,该算法通过在图像中添加一种类似于菱形的小块,使图像中的所有目标都能避开目标检测模型的检测。我们根据攻击的模型设计不同的损失函数,并选择图像中使我们的攻击最好的关键位置。
二、方法
它集成了一阶段对象检测器YOLOv 5和两阶段对象检测器Faster R-CNN来执行联合对抗攻击。对于单阶段检测器(YOLOv 5)和两阶段检测器(Faster R-CNN),我们分别设计了避免损失函数,以提高攻击能力。
补丁设计:我们设计了一个十字形的补丁,其交叉点是在对象的边界框的中心。使用大跨度补丁增加了攻击成功率,同时减少了改变的像素数量。为了解决模约束优化问题,我们利用值为0和1的掩码来确定补丁的位置,同时还限制扰动像素的数量。
Loss function for YOLOv5:我们的攻击方法主要是降低所有前景对象的概率值,所以我们只关注YOLOv5最终结果的类别概率分布,攻击对象是使前景概率小于判断阈值t。
Loss function for Faster R-CNN:在Faster R-CNN中,置信度是使用softmax函数计算的,这导致了各个类之间存在一定的矛盾,即某个类的置信度降低,会导致其他类的置信度增加。解决方法:
生成星形补丁攻击
三、实验
数据集:我们使用的数据集是INRIA,它是一组站立或行走的人的标记图像,包括各种人体姿势和光照条件,是Navneet Dalal Detection of直立行人在图像和视频研究工作中收集的,非常适合行人检测。
评估标准:在实验中,我们从mAP、攻击成功率(ASR)、攻击所需时间(Time)等角度对攻击算法进行了评估,而Changed Pixels是指添加到图像中的对抗性扰动可以改变的图像像素的最大数量。
mAP是所有类别的AP(平均精度)值的平均值,是目标检测算法的主要评价指标。
mAPclean表示攻击前检测器的mAP,mAPattack为攻击后检测器的mAP,ASR越高,攻击越强。
YOLOV5 MODEL:
在我们的方法中,随着可变像素数的增加,攻击强度逐渐增强,但当可变像素数超过3000时,攻击强度增加很小。
显示了我们的方法生成的对抗样本。第一行是干净样本和生成的对抗样本,第二行是每个样本在YOLOv5模型上的检测结果。随着可变像素上限的增大,攻击效果也随之增大。FASTER R-CNN MODEL:
Faster R-CNN模型的攻击效果稍差,说明对Faster R-CNN模型的攻击难度更大。
四、结论
在这项工作中,我们提出了一个仿人形的对抗补丁生成算法。该算法生成的对抗样本攻击效果优于Dpatch等方法,且能修改较少的图像像素。它可以误导目标探测器,使目标探测器无法探测到目标,它适用于一级目标探测器和两级目标探测器。我们设计了有效的损失函数与范数有限的扰动。我们的方法在YOLOv 5模型和Faster R-CNN模型上实现了非常高的攻击成功率。在接下来的工作中,一方面,我们会进一步改进我们的方法,选择更好的局部对抗补丁添加到图像中,特别是针对两阶段对象检测器的攻击,因为在实验中我们发现YOLOv 5模型更容易攻击,而针对Faster R-CNN模型的攻击则更困难;另一方面,这些对抗性的例子对现实世界应用中的深度神经网络是一个巨大的威胁。我们将讨论如何改进现有的对象检测模型。处理对抗性示例的鲁棒性。
扫一扫
3370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
