Redian新闻
>
CVPR 2023 | 一块隔热片即可实现红外场景下的物理攻击,北航提出针对红外行人检测器的漏洞挖掘技术

CVPR 2023 | 一块隔热片即可实现红外场景下的物理攻击,北航提出针对红外行人检测器的漏洞挖掘技术

公众号新闻
机器之心专栏

机器之心编辑部

来自北航人工智能研究院的韦星星副教授团队设计出一种隐蔽性更强、物理实施更简单、速度更快的 “对抗红外补丁”,可用于对红外模态的物理鲁棒性评估研究


在计算机视觉领域,基于 DNN 的红外与可见光目标检测系统在诸多安全保障任务中得到广泛应用,而 DNN 易受对抗样本攻击的特性,天然给这些检测系统埋下了安全隐患,检测器的对抗鲁棒性也因此受到了学术界与工业界的共同关注,相关研究的发展势头强劲。


已有不少研究者针对可见光模态提出了物理鲁棒性评估技术,它们被设计在常见的物品上,有着精心设计的纹理图案,比如对抗贴纸、眼镜、衬衫和帽子等。但是,这些基于纹理的扰动对于红外模态是不起作用的。而对于同样主流的红外检测器,其虽具有同等的评估必要性,有效的物理鲁棒性评估技术却屈指可数,并且现有方法在从数字世界向真实世界进行转换实现时,具有较高的实现难度。


在最近的一篇论文中,来自北航人工智能研究院的研究者们针对红外模态展开了物理鲁棒性评估技术的研究,设计出了一种隐蔽性更强、物理实施更简单、速度更快的 “对抗红外补丁”。他们提出了一种新颖的损失函数,使其能够利用统一梯度,同时优化对抗补丁的位置与形状,并使补丁的热幅射分布更加统一。在物理实施方面,其利用气凝胶这种隔热材料实现补丁相应的热分布,只需通过剪裁粘贴便完成了对抗样本的建构。研究论文已经被 CVPR 2023 接收。



论文地址:https://arxiv.org/abs/2303.13868


实验证明,该方法在不同距离、角度、姿势和场景下都具有很好的表现。值得注意的是,在与 SOTA 方法取得同等优异表现时,该方法从数字优化到物理实施整个过程不超过半小时,是 SOTA 方法花费时间的 5%。此外,该方法在小车上也能取得不错的效果,具有良好的泛化性。



方法概览


该研究主要基于行人检测任务进行方法建构,将最高得分检测框作为检测到的行人,当对抗样本的检测得分低于阈值时,代表其攻击成功。区别于常见的扰动攻击,该研究基于一个区域性的补丁构建对抗样本。其生成定义如下:



其中,由补丁的物理材料在红外模态下的像素值决定,在数字环境下很难对进行操作。于是该研究将先验性的定为 0(即黑色),转而对 M 进行优化,通过学习补丁的形状与位置改善攻击性能与物理可实施性。


技术实现上,该研究采用白盒方法,设计损失函数,进行基于动量的梯度优化。其中,为了提高对抗补丁的物理可实施性,求解的掩码 M 应该具有以下性质:


(1)M 中的像素点应该聚集在一起,在合理位置形成一个具有对抗攻击性的形状。

(2)M 中的像素值应尽可能趋于 1 或 0。


关于损失函数,攻击 loss 是以最小化所有边界框内的最大置信度得分为目标,使目标成功 “隐身”。这种隐身攻击损失的定义如下:



但是,只基于攻击 loss 优化会导致 M 中的像素取到 [0,1] 中的连续值,且高值的像素点离散分布在不同的位置,无法满足上述目标。因此,他们提出全新的聚集正则项和二值化正则项加入到损失函数中,在保证有效攻击的基础上保证形状紧凑以及像素值非 0 及 1。


聚集正则项的提出主要针对下面两个问题:


(1)如何有效得到聚集的形状;

(2)对于形状和位置两种完全不同的变量,如何通过统一的梯度完成二者的共同优化。


想要获得聚集的图像块,M 中取值为 1 的像素应该被聚类。为了度量像素的这种聚集性,他们提出了局部聚集系数,能够量化一个像素点的邻居是多么接近一个 “团”。其主要通过单个像素点的八个邻居像素及联通边计算得出。



考虑到 M 实际取值为 [0,1] 区间,他们在原本的设计上增加衰减因子,形成了 soft 版本的计算公式。最终,聚集正则项结合该量化聚集度与掩码 M 的值进行设计,显然其中的运算都是可微分的,使得其可以通过统一梯度同时完成形状与位置的优化:



二值化正则项的提出则是为了优化 M 中的像素值,具体定义如下:



其中,L_MSE 部分起到二值正则化的主要作用,让 M 的值具有非零即一的可操作性,而引入 M 的 L_1 范数是为了让补丁面积在优化过程中尽可能小。


结合上述三种具有不同优化功能的 loss,最终的损失函数为:



在这种损失函数的指导下,其最终得到的对抗补丁是一个面积适中的补丁图案,其聚集性,以及 Mask 非零即一的特性使得物理实施的难度大幅度下降。在最终物理实现时,只需要在材料上剪裁出一块优化得到的补丁,并贴在攻击目标身体上的指定位置,即可进行鲁棒性评估。


实验结果


在实验部分,实验一到三是数字世界下的实验,实验四到六是物理世界下的实验。


实验一:与两种 SOTA 方法进行了效果对比,结果显示,该方法对应的 AP 值从 100 % 下降到 12.05 %,超过了 SOTA 方法。


实验二:对 patch 的形状位置进行了消融实验对比,证实了二者同时优化的有效性。




实验三:对损失函数的效果进行了对比验证,结果显示,尽管完整 loss 与部分功能 loss 缺失条件下得到的 ASR 相比略低,但其显著的聚集性带来的价值更有意义。


实验四:对不同距离、角度、姿势和场景进行了方法验证,总体取得了较好效果。




实验五:在小车上进行了拓展实验,并设定了不同距离和角度,攻击成功率总体位于 90% 以上。


实验六:采用三种典型的防御手段来评估该攻击方法的鲁棒性,结果显示,在三种防御方法下,对抗攻击性能下降幅度均在可接受范围内,证明鲁棒性较好。



结语


该研究提出了可学习形状和位置的、物理操作性强的对抗红外补丁,可以通过巧妙的 loss 设计,实现对多变量同时的梯度优化。物理实现采用气凝胶隔热材料构建红外贴片。该方法优化速度快,贴片制作简单,从数字世界优化到物理世界构建对抗样本仅需 0.5 小时。实验效果相当甚至优于红外模态 SOTA 攻击方法,行人和车辆检测实验体现了方法的有效性和泛化性。

© THE END 

转载请联系本公众号获得授权

投稿或寻求报道:[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
美国档案---萧蕙裳(Siu Wai Sheung)绝美挪威荷兰夏日之旅(九)老鷹之路-峡湾小镇GeirangerCVPR 2023论文总结!CV最热领域颁给多模态、扩散模型CVPR 2023 | 微软提出LDGM:利用解耦扩散模型统一版面生成古巴行 (2) - 哈瓦那 + 最美海滩VaraderoCVPR 2023|Crowd3D:数百人大场景3D位置、姿态、形状重建,开源benchmark数据集高并发场景下如何优化服务器的性能?CVPR 2023 | HPM:在掩码学习中挖掘困难样本,带来稳固性能提升!Eruope 2023CVPR 2023 | 大连理工和微软提出SeqTrack:目标跟踪新框架CVPR 2023 | 由点到面:可泛化的流形对抗攻击,从个体对抗到流形对抗CVPR 2023 | 即插即用!SQR:对于训练DETR-family目标检测的探索和思考CVPR 2023 | 一键去除视频闪烁,该研究提出了一个通用框架论中国人的“西化”CVPR 2023 | 北大提出UniDexGrasp:通用灵巧手抓取算法CVPR 2023 | 神经网络超体?新国立LV lab提出全新网络克隆技术CVPR 2023|哈工大南洋理工提出全球首个「多模态DeepFake检测定位」模型:让AIGC伪造无处可藏转:2023 回国探亲(5)无敌!TCGA、GEO、STRING等14个数据库挖掘教程,0代码即可实现!CVPR 2023 | YOLOv7强势收录!时隔6年,YOLOv系列再登CVPR!国际要闻简报,轻松了解天下事(03CVPR 2023 | 南大王利民团队提出LinK:用线性核实现3D激光雷达感知任务中的large kernel2023 春 祝姐妹们周末快乐!CVPR 2023|两行代码高效缓解视觉Transformer过拟合,美图&国科大联合提出正则化方法DropKeyCVPR 2023 | 浙大提出全归一化流模型PyramidFlow:高分辨率缺陷异常定位新范式挖掘金融场景下的数据要素价值,有哪些问题必须解决?|InfoQ 闭门会精选2022&2023 Subaru Outback 和 2023 Honda CRV Hybrid二选一CVPR 2023 | 北大提出DynamicDet:目标检测器的通用动态架构首个二值量化评测基准来了,北航/NTU/ETH联合提出,论文登ICML 2023CVPR 2023 | 白翔团队提出:将CLIP模型用于场景文本检测CVPR 2023 | 港中大&IDEA开源首个大规模全场景人体数据集Human-Art今年 CV 热点这么多,不可错过 CVPR 2023 线下论文分享会CVPR 2023 | 谷歌、MIT提出统一框架MAGE:表征学习超MAE,无监督图像生成超越 Latent DiffusionCVPR 2023 | IDEA与清华提出首个一阶段3D全身人体网格重建算法CVPR2023 | 微软提出高效率大规模图文检索模型德奥匈捷四国五城游之萨尔茨堡CVPR 2023 | Uni3D: 首个多数据集3D目标检测框架CVPR 2023 | 谷歌提出CLIPPO:仅从像素理解图像和语言CVPR 2023 | 超越MAE!谷歌提出MAGE:图像分类和生成达到SOTA!速度提升24倍,30分钟完成室内大场景逆渲染,如视研究成果入选CVPR 2023
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。