针对目标检测器的假阳性对抗样本

作     者：袁小鑫 胡军 黄永洪 Yuan Xiaoxin;Hu Jun;Huang Yonghong

作者机构：计算智能重庆市重点实验室(重庆邮电大学)重庆400065 重庆邮电大学计算机科学与技术学院重庆400065 重庆邮电大学网络空间安全与信息法学院重庆400065 

基　　金：国家自然科学基金项目(61772096,61876201,61876027) 重庆市自然科学基金项目(cstc2019jcyj-cxttX0002,cstc2021ycjh-bgzxm0013) 重庆市教委重点合作项目(HZ2021008) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2022年第59卷第11期

页      码：2534-2548页

摘      要：目标检测器现已被广泛应用在各类智能系统中,主要用于对图像中的物体进行识别与定位.然而,近年来的研究表明,目标检测器与DNNs分类器都易受数字对抗样本和物理对抗样本的影响.YOLOv3是实时检测任务中一种主流的目标检测器,现有攻击YOLOv3的物理对抗样本的构造方式大多是将生成的较大对抗性扰动打印出来再粘贴在特定类别的物体表面.最近的研究中出现的假阳性对抗样本(false positive adversarial example,FPAE)可通过目标模型直接生成得到,人无法识别出该对抗样本图像中的内容,但目标检测器却以高置信度将其误识别为攻击者指定的目标类.现有以YOLOv3为目标模型生成FPAE的方法仅有AA(appearing attack)方法一种,该方法在生成FPAE的过程中,为提升FPAE的鲁棒性,会在迭代优化过程中加入EOT(expectation over transformation)图像变换来模拟各种物理条件,但是并未考虑拍摄时可能出现的运动模糊(motion blur)情况,进而影响到对抗样本的攻击效果.此外,生成的FPAE在对除YOLOv3外的目标检测器进行黑盒攻击时的攻击成功率并不高.为生成性能更好的FPAE,以揭示现有目标检测器存在的弱点和测试现有目标检测器的安全性,以YOLOv3目标检测器为目标模型,提出RTFP(robust and transferable false positive)对抗攻击方法.该方法在迭代优化过程中,除了加入典型的图像变换外,还新加入了运动模糊变换.同时,在损失函数的设计上,借鉴了C&W攻击中损失函数的设计思想,并将目标模型在FPAE的中心所在的网格预测出的边界框与FPAE所在的真实边界框之间的重合度(intersection over union,IOU)作为预测的边界框的类别损失的权重项.在现实世界中的多角度、多距离拍摄测试以及实际道路上的驾车拍摄测试中,RTFP方法生成的FPAE能够保持较强的鲁棒性且迁移性强于现有方法生成的FPAE.

主 题 词：假阳性对抗样本 鲁棒性与迁移性 目标检测器 物理对抗攻击 实时检测 

学科分类：081203[081203] 08[工学] 0835[0835] 0812[工学-测绘类] 

核心收录：

D　O　I：10.7544/issn1000-1239.20210658

馆 藏 号：203115469...