【例会】Fooling automated surveillance cameras: adversarial patches to attack person detection

主持人:李雨龙

参会老师:杨矫云

参会学生:郭思伊,贵芳,殷越

时间:2019年7月24日

本次例会学习讨论了文章:

Thys S , Van Ranst W , Goedemé, Toon. Fooling automated surveillance cameras: adversarial patches to attack person detection[J]. 2019.

一、背景

近几年来,卷积神经网络(CNN)在计算机视觉领域取得了巨大的成功。身体识别为例,对CNN模型的评价,我们可以通过识别人工标注的图像来确定模型对人的检测的效果。但这种测试集通常不包含被设计用来误导模型的样本,也不包含特别用于欺骗模型的样本 对于不太可能发生攻击的应用程序(例如老年人的跌倒检测)来说,不会出现太大问题,但在安全系统中可能会造成很严重的问题。

目前的图像攻击方法一般分为两类:

第一类攻击方法: 通过稍微改变输入图像的像素值来欺骗分类器,从而输出错误的类;

第二类攻击方法 学习出可以应用于对象的“补丁”来欺骗检测器和分类器;

然而,所有这些方法都针对的是几乎不包含类内多样性的类。

二、问题与假设

如何设计出一种针对目标检测器(以YOLOv 2为例)的对抗性攻击方法?

本文提出了一种针对具有高水平的类内多样性的目标(即人)生成对抗性补丁的方法。其目标是生成一个补丁,该补丁能够成功地将一个人隐藏在人员检测器面前。

这样的补丁可以被利用来规避监视系统的攻击,入侵者可以在他们的身体前面拿着一个小纸板,对准监视摄像机,然后在不被察觉的情况下潜行。

三、方法

这项工作的目标是创建一个系统,该系统能够生成可打印的对抗性补丁,可用于欺骗人员检测器。为此本文将损失函数划分为3部分

Lnps不可打印得分:表示补丁的颜色与可打印的颜色之差的最小值

Ltv总变化量得分:表示的图像的总变化

Lobj对象分数:表示图像中的最大对象分数

按照如下图所示的流程对对抗性补丁进行优化,以达到更多的欺骗检测器的目的

图片1

为了使检测器忽略人,本文使用三种不同的方法来调整Lobj:

最小化对人的分类分数,最小化对象分数以及两者的组合

为了评估对抗性补丁的有效性,本文将补丁应用到Inria测试集来评估加入补丁后对识别率的影响

四、实验结果

图片3

最终实验结果如上图所示,最小化对象分数方法对于检测器的影响明显大于最小化对人的分类分数方法的影响以及两种方法的组合。

本文还测试了这种对抗性补丁的打印版本在现实世界中的工作效果。 一般来说,这个补丁运行得很好。由于图片是在相对于包围盒的固定位置上训练的,将贴片固定在正确的位置上对于欺骗检测器来说相当重要。

五、结论

本文提出了一种可以在真实世界中打印和使用的对人检测器的对抗补丁生成系统。在本文的实验中,比较了不同的方法,发现最小化对象分数方法创造了最有效的补丁。

本文用打印出来的补丁在真实世界进行测试,补丁可以有效的让人躲避检测器,这表明使用类似检测器的安全系统可能很容易受到这种攻击。

anyShare分享到:
This entry was posted in 例会. Bookmark the permalink.

发表评论