光照对抗攻击

引言

该论文的创新点很奇特是关于光学对抗攻击类的文章，即通过人为刻意制造的光照分布从而对目标分类器进行攻击，而无需实际接触对象。作者在论文中提出的方法$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$其原理是使用结构化照明来改变目标对象的外观。该系统由一台低成本投影仪、一台摄像机和一台计算机组成。该问题的挑战是投影仪辐射响应的非线性和场景的空间变化光谱响应。在传统方法中生成的攻击在此设置中不起作用，除非对其进行校准以补偿此类投影仪相机型号。所提出的解决方案将投影仪-摄像机模型纳入对抗性攻击优化中，由此导出了新的攻击公式。实验结果也证明了该方法的有效性，OPAD可以在白盒、黑盒、目标和无目标攻击的背景照明下对真实3D对象进行光学攻击。作者也从理论上分析了用于量化系统的基本性能极限。

投影仪-照相机模型

 令$x\in {\mathbb{R}}^2$表示的是一个二维图像，发送到投影仪的源照明图案的第$x$个像素表示为$$f(x)=[f_R(x),f_G(x),f_B(x){]}^{\top }\in {\mathbb{R}}^3,$$整个源图像表示为$$\mathbf{f}=[\mathbf{f}(x_1),\mathbf{f}(x_2),\cdots ,\mathbf{f}(x_N){]}^{\top }\in {\mathbb{R}}^{3N},$$其中$N$表示的是图像像素得个数。源图像通过投影仪投影出来的图像表示为$$\mathbf{g}=\mathcal{T}(\mathbf{f}),$$其中$\mathbf{g}\in {\mathbb{R}}^{3N}$表示被观察到的图像，映射函数为$\mathcal{T}:{\mathbb{R}}^{3N}\to {\mathbb{R}}^{3N}$。在特定的像素$x$的映射被定义为${\mathcal{T}}^{(x)}:{\mathbb{R}}^3\to {\mathbb{R}}^3$，并且有$$\mathbf{g}(x)={\mathcal{T}}^{(x)}(f(x)),$$进一步简化可以写成$g(x)=\mathcal{T}(f(x))$。
 第一个组件是投影仪的辐射响应组件，具体示意图如下所示。源图片的像素点$f(x)\in {\mathbb{R}}^3$经投影仪非线性变换会改变每个通道的密度，函数$\mathcal{M}=[{\mathcal{M}}_R,{\mathcal{M}}_G,{\mathcal{M}}_B]$将源图像信号转化为光学信号$z(x)\in {\mathbb{R}}^3$，具体公式为$$z(x)\stackrel{\mathrm{d}\mathrm{e}\mathrm{f}}{=}\left[\begin{array}{l}{z}_R(x)\\ z_G(x)\\ z_B(x)\end{array}\right]=\left[\begin{array}{l}{\mathcal{M}}_R(f_R)\\ {\mathcal{M}}_G(f_G)\\ {\mathcal{M}}_B(f_B)\end{array}\right]=\mathcal{M}(f(x))$$

 第二个组件是投影仪的光谱响应组件，具体示意图如下所示。投影仪使用颜色转换将$z(x)$转换为$\mathbf{g}(x)$，具体的公式如下所示：$$\mathbf{g}(x)={\mathbf{V}}^{(x)}z(x)+{\mathbf{b}}^{(x)},$$其中${\mathbf{V}}^{(x)}$是一个$3\times 3$的混合矩阵，具体定义为$${\mathbf{V}}^{(x)}=\left[\begin{array}{lll}{\mathbf{V}}_{RR}^{(x)}& {\mathbf{V}}_{RG}^{(x)}& {\mathbf{V}}_{RB}^{(x)}\\ {\mathbf{V}}_{GR}^{(x)}& {\mathbf{V}}_{GG}^{(x)}& {\mathbf{V}}_{GB}^{(x)}\\ {\mathbf{V}}_{BR}^{(x)}& {\mathbf{V}}_{BG}^{(x)}& {\mathbf{V}}_{BB}^{(x)}\end{array}\right]$$向量${\mathbf{b}}^{(x)}$表示的是光照的偏置项，它被定义为${\mathbf{b}}^{(x)}=[{\mathbf{b}}_R^{(x)},{\mathbf{b}}_G^{(x)},{\mathbf{b}}_B^{(x)}]\in {\mathbb{R}}^3$.

 假定输入的图像为$\mathbf{f}$，则最终观察到的输出为$$\mathbf{g}=\underset{\mathcal{T}(\mathbf{f})}{\underbrace{\mathbf{V}\mathcal{M}(\mathbf{f})+\mathbf{b}}}$$其中$\mathbf{V}$是一个对角矩阵$$\mathbf{V}=\mathrm{diag}\left\{{\mathbf{V}}^{\left(x_1\right)},{\mathbf{V}}^{\left(x_2\right)},\dots ,{\mathbf{V}}^{\left(x_N\right)}\right\}\in {\mathbb{R}}^{3N\times 3N}$$$\mathbf{b}$是整体的偏置项$$\mathbf{b}={\left[{\mathbf{b}}^{\left(x_1\right)},\dots ,{\mathbf{b}}^{\left(x_N\right)}\right]}^T\in {\mathbb{R}}^{3N}$$

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$算法

 $\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$算法是一种元程序，它可以嵌入到任何一个现有的最大化类型的对抗损失中。如下图所示，$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$中的损失最大化不同于传统图像数字对抗攻击。传统的对抗攻击是将对抗扰动直接加在输入图像中。在$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$中，输入的${\mathbf{f}}_0$是均匀的光照，而且对抗扰动是直接加在光照空间中。

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$损失最大化

 介绍算法时，主要以有目标白盒攻击为例，其它形式的攻击可以相似形式进行扩展。考虑一个均匀光照图像${\mathbf{f}}_0$，干净的样本则为${\mathbf{g}}_0=\mathbf{V}\mathcal{M}({\mathbf{f}}_0)+\mathbf{b}$。主要目标是使得分类器将标签分类出错为指定的标签${\ell }_{target}$，具体公式如下所示：
$$\begin{array}{rl}\delta & =\underset{\delta }{\mathrm{argmax}}\mathcal{L}(\mathcal{T}(\mathbf{f}+\delta ),{\ell }_{target})\\ & =\underset{\delta }{\mathrm{argmax}}\mathcal{L}(\mathbf{V}\mathcal{M}(\mathbf{f}+\delta )+\mathbf{b},{\ell }_{target})\end{array}$$在大多数传统的对抗攻击方法中，对抗扰动$\delta$在输入空间中被约束$\Vert \delta \Vert <ϵ$，以确保扰动不会过大。在该论文中，对抗扰动的约束分为两部分：

• 扰动照明必须是物理上可以实现的，这意味着需要满足如下约束，$$0\le {\mathbf{b}}_0+\delta \le 1$$

• 对抗扰动的约束在投影仪的输出空间中进行约束，使得看到对抗样本图像与真实样本差距不大，具体的公式如下所示：$$\Vert \underset{\stackrel{\text{ def }}{=}{\mathbf{g}}_0}{\underbrace{\left(\mathbf{V}\mathcal{M}\left({\mathbf{f}}_0\right)+\mathbf{b}\right)}}-\underset{\stackrel{\text{ def }}{=\mathbf{g}}}{\underbrace{\left(\mathbf{V}\mathbf{M}\left({\mathbf{f}}_0+\mathbf{\delta }\right)+\mathbf{b}\right)}}\Vert <\alpha$$
   将这些约束条件加入到公式中，通过求解优化得到对抗扰动 $$\begin{array}{rl}{\mathbf{\delta }}^{\ast }=& {\mathrm{argmax}}_{\delta }\mathcal{L}\left(\mathbf{V}\mathcal{M}\left({\mathbf{f}}_0+\mathbf{\delta }\right)+\mathbf{b},{\ell }_{\text{target }}\right)\\ & \text{ subject to }\\ & \Vert \left(\mathbf{V}\mathcal{M}\left({\mathbf{f}}_0\right)+\mathbf{b}\right)-\left(\mathbf{V}\mathcal{M}\left({\mathbf{f}}_0+\mathbf{\delta }\right)+\mathbf{b}\right)\Vert <\alpha \\ & 0\le {\mathbf{f}}_0+\mathbf{\delta }\le 1.\end{array}$$

优化问题简化

 求解如上优化问题是比较困难的，但是可以对上问题进行简化，简化过后的公式为
$$\begin{array}{c}{\mathbf{\eta }}^{\ast }=\underset{\eta }{\mathrm{argmax}}\mathcal{L}\left({\mathbf{g}}_0+\mathbf{\eta },{\ell }_{\text{target }}\right)\\ \text{ subject to }\Vert \mathbf{\eta }\Vert <\alpha ,\\ 0\le {\mathbf{f}}_0+\mathbf{\delta }\le 1.\end{array}$$其中对抗扰动${\mathbf{\eta }}^{\ast }$满足如下约束条件 Ω = { η ∣ η = V M ( f 0 + δ ) − V M ( f 0 ) , c ℓ ≤ δ ≤ c u } \Omega=\left\{\boldsymbol{\eta} \mid \boldsymbol{\eta}=\mathbf{V} \mathcal{M}\left(\mathbf{f}_{0}+\boldsymbol{\delta}\right)-\mathbf{V} \mathcal{M}\left(\mathbf{f}_{0}\right), \quad \boldsymbol{c}_{\ell} \leq \boldsymbol{\delta} \leq \boldsymbol{c}_{u}\right\} Ω={η∣η=VM(f0​+δ)−VM(f0​),cℓ​≤δ≤cu​}进而可以得到最终的优化目标和约束条件，如下所示$$\begin{array}{rl}{\mathbf{\eta }}^{\ast }=& \underset{\mathbf{\eta }\in \Omega }{\mathrm{argmax}}\mathcal{L}\left({\mathbf{g}}_0+\mathbf{\eta },{\ell }_{\text{target }}\right)\\ & \text{ subject to }\Vert \mathbf{\eta }\Vert <\alpha \end{array}$$

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$程序

 如果忽略约束集$\Omega$，则本论文提出的方法就是一个标准的基于梯度的对抗攻击，其迭代更新公式可以写为：$${\mathbf{\eta }}^{t+1}=\mathrm{m}\mathrm{y}\mathrm{attack}\left({\mathbf{f}}_0,{\mathbf{\eta }}^t,\ell \right)$$其中$\text{ my attack }(\cdot )$表示基于梯度攻击方式的一种。如果使用的是带有${\ell }_{\infty }$的$\mathrm{P}\mathrm{G}\mathrm{D}$攻击，则有$${\mathbf{\eta }}^{t+1}=\alpha \cdot \mathrm{sign}\left\{\nabla \mathcal{L}\left({\mathbf{g}}_0+{\mathbf{\eta }}^t,{\ell }_{\text{target }}\right)\right\}$$
 在约束集$\Omega$存在的情况下, 每次迭代更新将涉及一个投影： η t + 1 = Project ⁡ Ω { my ⁡ attack ⁡ ( f 0 , η t , ℓ target  ) ⏟ = η t + 1 2 } \boldsymbol{\eta}^{t+1}=\operatorname{Project}_{\Omega}\{\underbrace{\operatorname{my} \operatorname{attack}\left(\mathbf{f}_{\mathbf{0}}, \boldsymbol{\eta}^{t}, \ell_{\text {target }}\right)}_{=\boldsymbol{\eta}^{t+\frac{1}{2}}}\} ηt+1=ProjectΩ​{=ηt+21​ myattack(f0​,ηt,ℓtarget ​)​​}投影操作将当前估计从输出空间反转到输入空间，并在输入空间中进行剪裁。然后，将信号重新映射回输出空间。在数学上，投影定义为$${\mathrm{Project}}_{\Omega }\left({\mathbf{\eta }}^{t+\frac{1}{2}}\right)=\mathcal{T}\left({\left[{\mathcal{T}}^{-1}\left({\mathbf{g}}_0+{\mathbf{\eta }}^{t+\frac{1}{2}}\right)\right]}_{[0,1]}\right)-{\mathbf{g}}_0$$其中$\mathcal{T}$表示前向映射，$[\cdot {]}_{0,1}$表示截取操作。

理解$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$的几何原理

 作者通过考虑线性分类器来分析$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$的基本极限。考虑一个具有真实标签${\ell }_{true}$的二元分类问题。 作者假设 h : R 3 N → { + 1 , − 1 } h:\mathbb{R}^{3N}\rightarrow\{+1,-1\} h:R3N→{+1,−1}是线性的，因此可以给出预测标签$${\hat{\ell }}_{\text{predict }}=h\left({\mathbf{g}}_0\right)=\mathrm{sign}\left({\mathbf{\theta }}^T{\mathbf{g}}_0\right)$$其中$\mathbf{\theta }$表示分类器的参数。${\mathbf{g}}_0$表示的是干净的图像，其损失函数可以表示为$${\mathcal{L}}_{\mathbf{\theta }}\left({\mathbf{g}}_0,{\ell }_{\text{true }}\right)=-{\ell }_{\text{true }}\cdot {\mathbf{\theta }}^T{\mathbf{g}}_0$$假定对抗样本为$\mathbf{g}={\mathbf{g}}_0+\mathbf{\eta }$，则损失损失函数可以为$${\mathcal{L}}_{\mathbf{\theta }}\left(\mathbf{g},{\ell }_{\text{target }}\right)=-{\ell }_{\text{target }}\cdot {\mathbf{\theta }}^T\left({\mathbf{g}}_0+\mathbf{\eta }\right)$$进一步可以得到优化目标为 η ∗ = argmax ⁡ η − ℓ t a r g e t ⋅ θ T η ,  subject to  η ∈ Ω , ∥ η ∥ ≤ α ⏟ Ψ = def { η ∣ ∥ η ∥ < α } \begin{gathered} \boldsymbol{\eta}^{*}=\underset{\boldsymbol{\eta}}{\operatorname{argmax}}-\ell_{\mathrm{target}} \cdot \boldsymbol{\theta}^{T} \boldsymbol{\eta}, \\ \text { subject to } \boldsymbol{\eta} \in \Omega, \underbrace{\|\boldsymbol{\eta}\| \leq \alpha}_{\Psi^{\text {def}}_{=}\{\boldsymbol{\eta} \mid\|\boldsymbol{\eta}\|<\alpha\}} \end{gathered} η∗=ηargmax​−ℓtarget​⋅θTη, subject to η∈Ω,Ψ=def​{η∣∥η∥<α} ∥η∥≤α​​​因此分析算法$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$，只需要去分析$\Omega$，$\Psi$，和神经网络的参数$\mathbf{\theta }$。

条件约束的几何结构

 $\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$有两个约束条件，第一约束条件$\mathbf{\eta }$表示的是在$\alpha -\mathrm{b}\mathrm{a}\mathrm{l}\mathrm{l}$里面。另一个约束条件是$\mathbf{\eta }\in \Omega$。考虑一个某物体处的一个像素点$x_1$，则该像素的三个通道分别是$\mathbf{f}(x_1)=[f_R(x_1),f_G(x_1),f_B(x_1){]}^{\top }$。在经过投影仪-照相机模型后，观察到的像素点变为$\mathbf{g}(x_1)$。由下图所示，给出了两个像素点之间的相关映射，将原始空间中的正方体映射为另一个空间的长方体。

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$什么时候会失败

 $\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$的可行区域由以下两个因素决定：一个是$\Omega \cap \Psi$和另一个是$\theta$的边界。如下图所示，给定一个干净的分类器$\theta$，将空间划分为两个半空间。正确的类别是类别1。为了将分类从类1移动到类0，必须沿着可行方向进行搜索，其中蓝色区域即可优化的可行区域，如果可行区域面积很小的时候，则攻击就极有可能失败如下图的左半图所示。

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$不能做到不可察觉

 作者坦言，由于光照攻击的特殊性，不能做到对抗扰动的不可察觉性。与数字攻击不同，数字攻击距离由决策边界决定，$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$中的最小扰动量由决策边界和光学系统决定。扰动必须通过投影仪的辐射响应和场景的光谱响应，更不用说衍射和失焦等其他光学限制。对于粗糙的表面，如果可行集$\Omega$，当目标很小时，别无选择，只能增加扰动强度。

实验结果

定量评估

  作者首先对四个真实的3D对象分别是泰迪、羊毛衫、篮球和马克杯进行定量实验，如下图所示，对于每个对象，作者生成$16$种不同的目标攻击：$4$种不同的目标类分别是斗篷、牛仔、威士忌壶和羊毛，$2$种不同的约束分别是${\ell }_2$和${\ell }_{\infty }$，和$2$个不同的分类器分别是$\mathrm{V}\mathrm{G}\mathrm{G}$-$16$和$\mathrm{R}\mathrm{e}\mathrm{s}\mathrm{N}\mathrm{e}\mathrm{t}$-$50$。$\mathrm{P}\mathrm{G}\mathrm{D}$用于所有的攻击中，其中参数$\alpha$设置为0.050。下图还展示了真实3D对象的光照对抗样本的示意图。

$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$应该有多强

 作者做了一个实验来了解$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$是如何不易察觉的。目标是想把“书”变成“漫画书”或“椒盐卷饼”。对于这两个目标，作者进行了$4$次攻击 α ∈ { 0.1 , 0.5 , 1.0 , 1.5 } \alpha \in \{0.1,0.5,1.0,1.5\} α∈{0.1,0.5,1.0,1.5}。可以看到一个较小的$\alpha$对于“漫画书”来说就可以攻击成功，而一个较大的$\alpha$对于“椒盐卷饼”来说才可以攻击成功。在这两种情况下，虽然对抗扰动不是太强，但是仍然肉眼可见。

限制$\Omega$的意义

 作者将注意力转移到约束空间$\Omega$上，因为正是这个约束$\Omega$使光照对抗攻击这个问题变得特别。如下图所示为真实3D衬衫攻击情况，作者在$\mathrm{V}\mathrm{G}\mathrm{G}$-16上发起了一次白盒$\mathrm{F}\mathrm{G}\mathrm{S}\mathrm{M}$攻击。结果表明，如果忽略该约束，$\mathrm{F}\mathrm{G}\mathrm{S}\mathrm{M}$将生成包含无法实现的颜色的图案。相反，当包括该约束$\Omega$条件，则可以更好的生成符合真实场景的对抗扰动。

鲁棒性分析

 作者使用不同的相机位置和缩放来捕捉场景。首先对停车标志生成成功的攻击，该标志被归类为“限速60”。然后将相机对于停车标志的位置转换为$30^{\circ }$。还通过放大和缩小来捕捉场景。结果表明，直到对象被长距离缩的很小，否则$\mathrm{O}\mathrm{P}\mathrm{A}\mathrm{D}$攻击仍然有效。