Towards-a-physical-world-adversarial-patch-for-blinding object detection models
1. Introduction
Fig. 2,补丁生成的框架。将原始图输入对象检测模型,并在目标对象上添加补丁。然后我们将修改后的图像发送到模型,并根据检测模型的输出不断优化补丁。
3. Methodology
3.1. Fooling object detection model with adversarial patch
optimization problem as defined by式(1)
Ldet 测量对象检测模型识别目标对象的期望:式(2)
Ls迫使补丁 p 具有较小的总变化 (TV) ,因此看起来更加平滑和自然,式(3)
Lp限制了从数字世界到物理世界的传输中补丁p的可显示的颜色损失,式(4)
最后,我们的全目标函数可以表示为:式(5)
4. Experiments
4.1. Setup
4.1.1. Dataset
- MS COCO 2017 dataset
- PASCAL VOC 2007dataset
- INRIA Person Dataset
4.1.2. Target model
YOLOv3 and Faster R- CNN
4.1.3. Evaluation metrics
- fooling rate (FR)|
- recall
4.2. Evaluation
4.2.3. Measuring the output of object detection model
4.2.5. Adversarial patch in physical world
对抗性补丁的最终目标是在物理世界中实现攻击。
- 图7证明了我们的攻击在物理世界中是有价值的,并且只会干扰探测器对带有补丁的物体的识别。