论文阅读—Adaptive Square Attack: Fooling Autonomous Cars with Adversarial Traffic Signs
发表位置: IEEE INTERNET OF THINGS JOURNAL, 2021
论文网址:https://ieeexplore.ieee.org/document/9165820
摘要
交通标志识别能够了解路况,有助于自动驾驶汽车做出正确的驾驶决策,是现代自动驾驶汽车视觉系统中的重要组成部分。由于深度神经网络能够提取有效的视觉特征,有助于提高识别性能。因此,目前最先进的交通标志识别模型均以深度神经网络为主干进行设计。然而,最近的对抗性攻击研究表明,深度神经网络很容易被干扰图像欺骗致使分类出错。作者提出了一种Adaptive Square Attack (ASA) 方法来探讨基于深度神经网络的交通标志识别模型的脆弱性。
背景
目前,研发自动驾驶汽车已经引起了学术界和工业界的广泛关注,展现出了极大的潜力来建设智慧城市,即丰富驾驶便利,减少交通拥堵,确保道路安全,甚至减少碳排放。自动驾驶还在研发中,但在过去几十年里,我们已经见证了自动驾驶汽车研发的重大进展。第一辆自动驾驶汽车出现在20世纪80年代早期,一经面世,便振奋人心,后来在2007年,DARPA城市挑战赛上成功地展示了自动驾驶汽车能够感知真实驾驶场景的复杂环境。
最近,世界著名的技术公司谷歌,特斯拉和优步已经采取进一步的步骤,推出商业化的自动驾驶汽车。这些现代智能车辆通常由各种传感器组成,例如,摄像头、激光雷达(光探测和测距)和雷达(无线电探测和测距),它们被集成起来收集有关驾驶场景的混合信息。与其他类型的传感器相比,摄像头的安装成本更低,因此视觉系统得到了广泛的应用,并成为自动驾驶汽车的基本组件。摄像头可以使自动驾驶汽车捕捉到与人眼相似的环境视图,从而可以顺利地利用先进的计算机视觉技术来帮助自动驾驶汽车理解交通场景。近年来人们对交通场景感知的各种视觉任务进行了研究,如重要物体(如车辆、行人、障碍物和交通信号灯/标志)检测和场景(如道路、车道和建筑)分割。近年来,深度神经网络利用层次结构和深度网络结构提取紧凑特征表示方面表现出了强大的能力,成为主流解决方案上面的各种视觉任务。然而,最近的对抗性攻击研究表明,当对原始图像进行小的扰动(例如,稍微改变部分像素的值)时,即使扰动后的图像看起来与原始图像几乎相同,也会导致深度神经网络模型的误分类。
早期关于对抗性攻击的研究主要针对图像分类模型,后来扩展到其他视觉任务,如目标检测、目标跟踪、语义分割和视觉识别。由于自动驾驶汽车涉及各种视觉任务,近年来人们也开始研究针对自动驾驶汽车的对抗性攻击。虽然先前的研究,已经针对自动驾驶汽车的交通标志识别模型提出了有效的对抗攻击方法,但其主要缺点是往往需要进行白盒攻击设置。实际上,模型的私有功能通常会被自动驾驶汽车制造商授权保护,无法被外界访问。因此,更有必要探索绕过识别模型详细工作流程的完整访问的黑盒攻击。
方案
实验
数据集:GTSRB
目标模型:三层卷积神经网络[1]
对比模型:SimBA-DCT [2]、Square Attack [35]
评价指标:攻击成功率、扰动规范、平均查询时间、平均查询次数、中位数查询
参考文献:
[1] M. Jaderberg, K. Simonyan, A. Zisserman, and K. Kavukcuoglu, “Spatial transformer networks,” in Annual Conference on Neural Information Processing Systems, NIPS, 2015, pp. 2017–2025
[2] C. Guo, J. R. Gardner, Y. You, A. G. Wilson, and K. Q. Weinberger, “Simple black-box adversarial attacks,” in Proceedings of the 36th International Conference on Machine Learning, ICML, 2019, pp. 2484–2493.
[3] M. Andriushchenko, F. Croce, N. Flammarion, and M. Hein, “Square attack: a query-efficient black-box adversarial attack via random search,” CoRR, vol. abs/1912.00049, 2019.
1826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
