14666看不见的扰动:利用滚动快门效应的AthenaSayles,Ashish Hooda,Mohit Gupta,Rahul Chatterjee和Earlence Fernandes威斯康星大学麦迪逊分校{esayles,hooda,mohitg,chatterjee,earlence}@ cs.wisc.edu摘要到目前为止,基于相机的计算机视觉的物理对抗示例已经通过可见的人工制品实现-停止标志上的贴纸,眼镜周围的彩色边框或具有彩色纹理的3D打印对象攻击信号AttackSignal无攻击信号这里隐含的假设是,扰动必须是可见的,以便相机可以感知它们。相比之下,我们贡献了一个程序来生成,第一次,物理对抗的例子是不可见的人眼。而不是修改受害者对象与可见的文物,我们修改光照亮的对象。我们演示了攻击者如何制作一个调制光信号,反向照亮场景,并在最先进的ImageNet深度学习模型上造成有针对性的错误分类。具体地说,我们利用商品相机中的无线电测量滚动快门效应来创建出现在图像上的精确条纹图案。对于人眼来说,它看起来像是物体被照亮了,但是相机创建了一个带有条纹的图像,这将导致ML模型以输出攻击者期望的分类。我们对LED进行了一系列模拟和物理实验,证明目标攻击率高达84%。1. 介绍最近的工作已经确定,深度学习模型容易受到对抗性示例的影响-对人类不明显的模型输入进行操纵,但诱导模型产生攻击者所需的输出[36,17,11]。该领域的早期工作研究了数字对抗示例,其中攻击者可以操纵输入向量,例如在图像分类任务中直接修改像素值随着深度学习在自动驾驶汽车[26,15,31],无人机[8,30]和机器人[38]等现实世界系统中的应用越来越多,计算机视觉社区在理解物理对抗示例方面取得了很大进展[14,5,34,24,10],因为这种攻击两位作者对这项工作的贡献相等图1:人类看到的图像(无边框)和相机捕获的图像(黑色边框),有攻击信号(左两幅图像)和没有攻击信号(右两幅图像)。没有攻击信号的图像被分类为咖啡杯(置信度55%),而具有攻击信号的图像被分类为香水(置信度70%)。该攻击对相机方向、距离和环境照明是模态是物理系统中最真实的。现有的物理攻击包括在停车标志上添加贴纸,使模型输出速度限制[14],在相框上添加彩色图案以欺骗面部识别[34],以及具有特定纹理的3D打印对象[6]。然而,所有现有的作品都向人类可见的对象添加人工制品(例如贴纸或颜色图案)在这项工作中,我们对人眼不可见的真实世界对象产生对抗性扰动,但产生错误分类。我们的方法利用人类和机器视觉之间的差异来隐藏对抗模式。我们在图1中展示了一个不可见的物理对抗性例子,它是通过操纵照射在物体上的光线而生成的。光线在图像中产生了只有相机才能感知的对抗模式。特别是,我们展示了攻击者如何利用辐射卷帘快门(RS)效应,这是一种存在于卷帘快门相机中的现象,该高频率。数码相机使用卷帘快门技术以更高的速率和更便宜的价格获得高分辨率图像[3,27]。滚动快门技术用于大多数消费级相机,如手机[19],AR眼镜[32]和机器视觉[1,2]。由于卷帘快门效应,逆向照明的物体导致包含多色条纹的图像。我们贡献了一个算法来创建一个14667时变高频光图案,可以创建这样的条纹。据我们所知,这是第一次展示利用辐射卷帘快门效应的物理对抗性例子,因此有助于我们不断理解对基于深度学习相机的计算机视觉的物理攻击。与物理攻击的先前工作类似,主要挑战是获得对动态环境条件(例如视点和照明)的鲁棒性然而,在我们的环境中,还有其他环境条件对创建这些攻击构成挑战。具体来说:(1)相机曝光设置会影响卷帘快门效果的存在程度,这会- 长时间曝光导致卷帘快门不太明显,控制能力较差。(2)攻击者(3)与现有攻击相比,可能的扰动空间有限不像贴纸攻击或3D对象,可以改变受害者对象的纹理,我们的攻击只允许条纹图案,包含一组有限的半透明颜色。(4)RGB LED产生的光和相机传感器感知的颜色的差异使得实现物理信号变得更加困难。为了应对上述挑战,我们创建了一个模拟框架,可以捕获这些环境和相机成像条件。模拟是基于一个可解释的分析模型的图像形成和光信号的传输和接收时,辐射卷帘快门效应。然后,使用分析模型,我们制定了一个优化目标,我们可以使用标准的基于梯度的方法来计算对抗性光信号,该信号对这些独特的环境和相机成像条件具有鲁棒性我们使用可编程LED制造这种光信号。虽然基于光的对抗性示例与基于贴纸的示例相比在扰动模式的类型方面受到限制,但它们具有若干优点:(1)攻击比基于贴纸的攻击更隐蔽,因为攻击者可以简单地将光源变为恒定值以关闭攻击。(2)与使用贴纸或3D打印物体的先前工作不同,这种扰动对人眼不可见(3)攻击是动态的,并且可以在基于贴纸的攻击中即时改变,一旦贴纸被放置,攻击效果就不能改变,除非贴纸被物理替换。在我们的设置中,攻击者可以简单地改变光信号,从而改变对抗效果。我们使用使用ImageNet训练的最先进的ResNet-101分类器来描述这种新型的不可见物理对抗示例[13]。我们进行物理测试,我们的攻击算法下各种观点,环境照明条件和相机曝光设置。例如,对于图1所示的咖啡杯,1我们在各种条件下获得了84%我们发现,攻击成功率取决于相机曝光设置:曝光率小于1/750s产生最成功和最强大的攻击。我们工作的主要贡献如下:•我们开发了调制可见光的技术,这些可见光可以照亮物体,从而在基于深度学习相机的视觉分类器上造成错误分类,同时与其他视觉分类器进行比较。对人类完全不可见我们的工作有助于一类新的物理对抗性例子,利用人类和机器视觉之间的差异。•我们发展了一个辐射卷帘快门效应下成像的可微分析模型,制定一个对抗性的目标函数,可以使用标准的梯度下降方法来解决。•我们在物理环境中实例化攻击,并通过研究照相机光学器件和环境条件,例如照相机方位、照明条件和曝光。代码可在https://github.com/EarlMadSec/invis-perturbations上获得。2. 相关工作数字对抗的例子。这种类型的攻击已经得到了比较充分的研究[36,17,11,29,33,7,22],并提出了几种攻击技术它们都涉及对包含目标对象的图像进行像素级更改。然而,当对网络物理系统发动攻击时,这种级别的访问是不现实的例如,计算机安全社区已经展示了攻击者如何直接激活(取消)汽车中的刹车[21]。物理对抗的例子 物理扰动是攻击物理系统的最现实的方式最近的工作已经引入了需要高度可见的贴附到受害对象的贴片的攻击,例如交通标志上的贴纸/贴片、图案化的相框或3D打印的物体[14,6,10,37,34]。我们介绍了一种新的物理对抗的例子,相机可以看到,但人类不能。Li等人[24]最近提出了对抗性相机贴纸。这些不需要在目标物体上贴上可见的贴纸,但它们需要攻击者在相机镜头上贴上贴纸。相比之下,我们的目标是一个更常见和广泛使用的威胁模型,其中攻击者只能修改受害者对象的外观。滚动快门失真。 一般来说,卷帘门可以14668不这表现为两种图像失真:(1)基于运动的,其中相机或对象在捕获期间移动,以及(2)辐射测量的,其中照明在相机曝光期间快速变化两者中更常见的是基于运动的,并且因此,大多数先前的工作已经检查了用于校正运动失真的技术[3,16,12,9]。早期的工作推导出滚动快门相机的几何模型,并消除了由于全局恒定平面内平移而导致的图像失真[16,12],后来通过密集光流扩展到非刚性运动[9]。我们的工作重点是年1年2年3年yh-2yh-1yh时间利用由高频光引起的辐射失真用于通信的滚动快门。一系列工作已经探索了使用辐射卷帘快门效应的可见光通信[18,23]。与我们的工作类似,目标是通过调制高频时变光信号(如LED)将信息从光源传输到相机我们从这项工作中获得灵感,并探索对手如何操纵光源来传输对抗性示例。然而,关键的区别是,在我们的设置中没有相反,攻击者必须能够在单个图像中传输攻击所需的所有信息,而无需与摄像机进行任何合作。相比之下,通信设置可以涉及随着时间的推移拍摄多个图像,因为光源和相机协作以实现信息传输。在我们的例子中,光信号必须对信息进行鲁棒编码,以便在单个图像的范围内实现攻击效果-这是我们面临的挑战。滚动快门视觉隐私。Zhu等人[39]提出使用辐射卷帘快门失真来降低图像中的信噪比,直到它变得人类无法理解。这有助于防止在敏感空间拍照。我们的目标是正交的-我们希望操纵卷帘快门效应,以在深度学习模型中造成有针对性的3. 滚动快门滚动快门背景。一般来说,相机根据其捕获图像的方式分为两种类型:(1)卷帘快门(RS)和(2)全局快门。相机由光传感器阵列组成(每个传感器对应一个图像像素)。在形成图像的同时,这些传感器暴露于光能量达tE的时间段,称为曝光时间,然后数据被数字化并读出到存储器。在全局快门中,整个传感器阵列同时曝光,然后关闭传感器以进行读出图2:调制光引起辐射卷帘快门效应。这里tr表示读取一行传感器所需的时间,te表示相机的曝光。高分辨率相机。我们在图2中可视化了存在照明变化的情况下的卷帘快门效果。对于RS相机,读取一行所需的时间称为读出时间(tr)。1每一行的曝光和读出时间比前一行稍晚设t0为第一行曝光的时间,则第y行在时间t0+(y-1)tr曝光,并在t0+(y−1)tr+te。由于不同的行在不同的时间点曝光,在拍摄图像时发生的场景中的任何照明或空间变化都可能导致捕获图像中的不期望的伪像,包括图像上的失真或水平条纹,称为滚动快门效应[25]。在这项工作中,我们利用这样的文物调制光源。我们贡献了一种技术来确定欺骗最先进的深度学习模型进行视觉分类所需的精确调制。图像形成。我们将时间调制的跟踪器信号表示为f(t)。我们假设场景除了攻击者控制的光源之外还包含环境光一组智能LED灯)。让ltex(x,y)表示场景的纹理,我们将其近似为(x,y)像素的值。由于攻击者信号是时间的函数,因此场景上的像素(x,y)处的照明将随时间变化(α+βf(t))。这里,α和β分别表示环境光的强度和攻击者控制的光的最大强度我们注意到,攻击者可以使用RGB LED,因此,攻击者在滚动快门相机中,同一行上的像素同时曝光,并且相邻行在略微不同的时间曝光。让每行曝光te秒,第y行在时间ty开始曝光。因此,行y中的像素(x,y)的强度将为:操作 相比之下,RS相机将每一行像素在稍微不同的时间段因此,虽然行i(x,y)=ρty+telyTex(x,y)(α + β f(t))dt.在这里,德-当曝光时,读出先前曝光的行的数据。这导致帧速率高于1这也大约是两个连续行曝光之间的时间差。图案时间视图tetrtetr.. ....tetetetetrtrtrtrtrtetrte图像行号:Y透过光信号146691注意相机传感器的传感器增益,其将落在像素传感器上的光辐射转换为像素强度。因此,我们有:i(x,y)=ρ ltex(x,y).αte+βty+tetyΣf(t)dt=ρ ltex(x,y)teα+ρ ltex(x,y)teβ g(y)=Iamb+Isig·g(y)这里,信号图像g(y)表示以下的平均效果:ty+te行y上信号f(t),g(y)=f(t)dt。让本人te tyamb可以是仅在环境光下捕获的图像,使得Iamb=ρ ltex(x,y)teα,而Isig是仅在攻击者控制光的全照明下(没有环境光)捕获的图像我们生成的时变信号f(t)是周期性的,周期为τ;在图像捕获期间,信号相对于相机可能有δ的偏移。因此,像素强度的最终方程为,Ifin=Iamb+Isig·g(y+δ)(1)在下一节中,我们将讨论如何使我们的攻击对环境条件(包括任何偏移量δ)具有鲁棒性。4. 制造看不见的扰动我们的高级目标是通过调制光源来生成光信号,使得当卷帘快门相机感测到场景时,它引起条纹图案。这些模式应该与机器学习模型对抗,但不应该对人类可见。攻击者光源以人类无法感知的频率闪烁,因此,场景看起来只是被照亮。图3概述了攻击管道。为了实现这一目标,我们首先介绍了制作这种光调制的挑战,然后介绍了克服这些问题的算法。4.1. 物理世界的挑战创建物理对抗示例的关键挑战之一是创建一个模拟框架,该框架可以准确地估计相机拍摄的最终图像如果没有这样的框架,通过重复物理实验来计算攻击将非常缓慢。此外,物理世界的扰动必须在不同的环境条件下生存,例如视点和照明变化。先前的工作已经提出了可以创建对抗性示例的方法,这些示例对这些环境因素具有鲁棒性。然而,在我们的背景下,我们遇到了一系列独特的额外挑战,涉及光的产生,接收和相机光学。摄像机与灯光之间的去干扰源头条纹图案出现在图像上的位置取决于相机和光源之间的同步如果不这样做,图3:攻击者创建一个时间调制的高频率在滚动快门照相机中引起辐射条纹畸变的频率光信号。条纹图案被设计成引起错误分类。条纹图案的图像,导致不同的最终图像。然而,攻击者无法控制相机以及何时拍摄图像。因此,我们优化了信号,即使在图像捕获时光源与相机不同步,也能保持对抗性。相机曝光。摄像机的曝光将显著改变特定攻击者信号的解释方式长时间曝光会对信号产生“平滑效应”,因为连续的两行将接收到相同的光线。这将降低攻击者造成错误分类的能力。较短的曝光时间会在图像上产生更明显的条带,从而更容易导致错误分类。我们表明,我们的对抗信号可以在很宽的暴露值范围内有效。光的产生和接收的颜色。 之前工作检查了打印机颜色的制造错误[14,34]。我们的攻击通过LED发生,这需要不同的技术来解释制造错误:(1)红色,绿色,蓝色LED产生不同强度的光;(2)相机运行专有的颜色校正;(3)透射光可以渗入所有三个颜色通道(例如,如果在传感器侧仅传输红光,则其仍将影响绿色和蓝色通道)。我们学习近似函数来将信号转换到图像上,以便我们可以创建一个模拟框架来快速找到对抗性示例。4.2. 优化问题我们的目标是计算光信号f(t),使得当在该光信号的影响下拍摄图像时,模型输出和所需目标类别之间的损失最小化然而,与先前的公式不同,我们不需要对扰动幅度进行CUP约束,因为我们的扰动(通过高频光调制)通过设计对人眼不可见相反,我们的公式14670222.不受到LED的能力的限制,我们使用Arduino芯片来调制它们(见第二节)。5)、摄像机参数。我们的公式中的新颖方面是滚动快门相机的可区分表示和相机应用的颜色校正这种表示允许我们使用常见的基于梯度的方法(如PGD [28]和FGSM [17])端到端计算对抗示例。我们的模型允许我们操纵相机参数,如曝光时间,图像大小和行读出速率。下式(1),我们得到最终图像Ifin,作为环境光中的图像(Iamb)和仅攻击者的图像之和算法1对抗性光信号生成输入:只有环境光的图像Iamb,有环境光和跟踪器控制光的图像Ifull,目标类别k和曝光值te输出:数字化的对抗光信号f*,其是大小为l的向量。符号:c:颜色通道的数量; shift(.,δ):移位δ位的向量的循环置换; γ:用于伽马校正的参数; N:最大迭代次数的阈值;s是快门函数,取决于te和图像大小h×wOPTIMIZE(Iamb,Ifull,k,s)n←1v0←$Zc×l<$随机抽取一个大小为c× l而不收敛且n≤NCP,T X,δ {0,1,. . . ,l}fn←1(tanh(vn−1)+1)光源(Isig). 基于图像形成模型on<$shift(f<$n,δ)n-c循环置换gn← ons卷积与快门函数如上所述,我们有以下目标函数:Iamb,n←T(Iamb);Ifull,n←T(Ifull).Σ1minE J(M(C(I(k)Isig,n← Iγ+gn×(Iγ-Iγ)γf(t) C、T、δ翅片L ←J.a. mb,nMC( Isig,n)满,n,k琥珀色,N目标类别k的平均损失Ifin=T(Iamb)+T(Isig)·g(y+δ)t+t(二)v←1yg(y)=te tyef(t)dtn ← n+ 1end whilef←1(tanh(vn)+1)其中J(.,k)是目标类别k的分类损失,M是分类器模型,C是考虑颜色再现误差的函数,T模型视点和照明δ表示可能的信号偏移。在只有环境光下的图像是Iamb,在只有完全照明的攻击者控制的光下的图像是Isig。由于我们假设攻击者无法控制环境光,因此我们无法获取Isig(没有环境光影响的图像)。相反,我们拍摄环境和攻击者控制的LED都被完全照亮的图像,我们称之为Ifull=Iamb+Isig,并外推我是满的-我是琥珀。解决上述优化问题如算法1所示。我们使用交叉熵作为损失函数J,并使用ADAM [20]作为优化器。接下来,我们讨论我们的算法如何处理独特的挑战(第二节)。4.1)生成鲁棒的对抗信号。f(t)的结构解决上述优化问题的挑战之一是确定如何以合适的格式表示时变攻击者信号f(t)。我们选择将其表示为强度值的向量,我们将其表示为f。f中的每个index表示tr的时间间隔(即,相机的读出时间这是因为攻击者将不会通过在单个tr周期内改变光强度来获得对卷帘快门效应的任何附加控制:在单个tr内,相同的行集合暴露于光,并且任何强度变化将被平均。此外,我们将f的值限制在[0,1]中,这样0表示零强度,1表示全强度。内部的信号值相应地缩放。 以确保我们信号在边界内,我们使用变量的变化。我们定义f=1(tanh(v)+1)。 所以,v可以取任何一个非-返回f结束过程在我们的优化过程中的边界值最后,攻击者必须确定什么是f的适当的张量, 因为优化器需要有限大小的张量。我们将f设计为周期性的,周期等于图像捕获时间:tr·h + te,其中h是图像的像素高度。由于f的每一个下标都表示t_n,所以f的向量的长度为l=h+teR视点和照明更改。 我们建立在以前的工作中获得鲁棒性的观点(对象姿态)和照明的变化。具体来说,我们使用期望变换方法(EoT),该方法从分布(例如,旋转、平移、亮度)[6]。我们使用分布X对此进行建模,其中包括用于水平和垂直翻转图像的变换,放大图像以考虑小的距离变化以及图像的平面旋转在优化过程的每次迭代期间,我们从X采样变换T,并将其应用于对象图像对Iamb和Ifull。我们将乘性噪声应用于环境光图像Iamb以对环境光中的小变化进行建模。然而,为了考虑环境光的更大变化,我们在攻击执行期间调整信号。这是这种攻击的主要好处之一我们生成一组对抗性光信号,每个信号都被设计为在特定的环境光值间隔下稳健地运行在攻击过程中,我们将灯光信号切换到与14671当前环境光设置。2使用这种方法,我们避免了在大范围的环境光条件下进行优化,从而提高了攻击的有效性。信号偏移。因为我们的信号可能与相机有相位差,所以我们在优化过程中考虑了这一点。 偏移是整数值δ∈ {0,1,. . . ,l}。每个偏移值可以由特定的循环前缀表示。f的向量。偏移值δ对应于对信号向量执行δ步循环旋转。为了获得对任意偏移的鲁棒性,我们将循环旋转建模为矩阵乘法运算。这使我们能够通过在优化期间对随机偏移进行采样来使用EoT颜色产生和接收错误。照相机的光生成和图像形成的不完善可能导致误差。此外,相机可以运行专有的校正步骤,如伽马校正,以提高图像质量。 我们通过使用sRGB(标准RGB)标准值γ = 2来说明伽马校正。2[4]。然而,对所有可能的缺陷来源进行建模是不可行的。相反,我们以粗粒度的方式将制造误差建模为变换的分布,并执行EoT以克服颜色差异。误差变换是一组实验确定的仿射(Ax+B)或多项式(a0xn+a1xn−1+..+an)每个颜色通道应用的变换(等式2中的项C)(2))。请参阅补充材料,了解分布P的确切参数范围,我们从中抽取C值。处理不同的暴露。当量图2将攻击者信号对图像的影响建模为f(t)和快门函数之间的卷积。较短的曝光导致较小的我们没有针对不同的曝光值进行优化,而是利用了这种新的物理攻击方式的一个特点--它的动态性。具体地,攻击者可以针对不同的离散实验值优化不同的信号f(t),然后在攻击执行时,切换到最适合于被攻击的相机和环境光的信号。由于大多数摄像机都有标准的曝光率,攻击者可以先验地创建不同的信号。我们注意到,活力是我们工作的一个特点,在当前的物理攻击中是不可能的[14,6,24,37,34,10]。5. 使用LED灯产生攻击信号我们使用了一个模拟框架来生成针对给定场景和相机参数的对抗性光信号。为了验证这些信号在现实世界中是否有效我们在这里解决的主要挑战是根据优化的信号f调制LED,f是[0,1]中的实数向量。我们使用Arduino Atmel Cortex M-3芯片(时钟频率84MHz)来驱动一对RGB LED。3我们使用三星GalaxyS7拍摄图像,其读出时间(tr)约为10µs。摄像机拍摄图像的分辨率3024×3024,比我们算法所需的输入大小(252×252)大12倍(Our优化过程在传递到ResNet-101之前将图像大小调整为(224×224)分类器)。因此,当将全分辨率图像的大小调整为模型的维度,12行数据被调整为1行。我们通过定义120µs的有效读出时间来解释这一点。也就是说,LED信号保持120µs,然后移动到下一个以f为单位的值。回想一下,我们不需要在读出时间内改变信号强度,因为在这段时间内的任何变化都将被传感器阵列平均。我们使用脉宽调制来驱动LED,以产生在at- tack信号f的数字版本中指定的强度。用一个驱动器同时驱动三个通道需要预先计算PWM宽度的时间表。这个过程需要细粒度的延迟,所以我们使用Arduino 库中的delayMicroseconds函数,它可以提供大于4µs的精确延迟。攻击可能需要小于此值的延迟,但它很少发生,并且不会对制造的信号产生影响(第二节)。6)。46. 实验我们通过实验表征了对抗性卷帘快门攻击的模拟和物理世界性能。对于所有实验,我们使用在ImageNet上 训 练 的ResNet-101 分 类 器[13] 。 实 验 结果 表 明 :(1)通过对摄像机方向具有鲁棒性的光源调制,可以诱导一致的、有针对性的误分类。(2)我们的仿真框架紧密遵循物理实验,因此我们在仿真中生成的信号也转化为物理设置中的鲁棒攻击;(3)攻击信号的有效性取决于相机的曝光值和环境光-较长的曝光或明亮的环境光可以降低攻击功效。为了评估每个攻击,我们随机抽取具有不同信号相移值(δ)和视点变换(T)的图像样本。我们将攻击精度定义为这些图像中被分类为目标的部分我们还记录了平均分类器我们使用可编程LED来实施攻击。 的3MTG 7 - 001 I-XML 00-RGBW-BCB 1,来自MarktechOptoelectronics。2攻击者可以使用连接到攻击者控制灯的测光表测量近似的环境光,例如https://www.lighting.philips.com/main/systems/themes/dynamic-照明。4占空比周期和摄像机读出时间(tr)之间可能存在微小差异。但由于我们的暴露率te>=0。5ms明显大于行读出时间tr = 10µs,这种差异对我们的攻击影响很小。14672来源(保密)攻击目标成功目标置信度(标准差)咖啡杯香水99% 82%(13%)图4:模拟框架紧密复制了辐射卷帘快门效应。左图为模拟结果,右图为物理实验结果两者都被归类为表1:使用我们的对抗性光信号在ImageNet的五个类上进行亲和力靶向的性能。对于每个源类,我们注意到前3个亲和目标,它们的攻击成功率,以及目标类的平均分类器置信度。(对200个随机采样变换的所有偏移值取平均值。)6.1. 仿真结果为了了解我们的攻击在模拟中的可行性,我们选择了五个受害者对象。由于我们的信号制作过程需要两个图像-环境光下的对象和满容量LED的对象-我们通过调整ImageNet数据集中基本图像的亮度来近似图像对对于Iamb,我们确保平均像素强度为85(255中),对于Ifull,它为160。这两个值的选择是为了模拟我们在物理实验中得到的结果。然后,我们使用EoT方法优化各种视点。由于基于光的攻击对结果图像具有约束效果(即,半透明条纹图案,其中每个条纹具有单一颜色)与当前的物理攻击相比,我们发现不可能随机选择攻击的目标类别。相反,我们发现某些目标类别比其他类别更容易攻击。我们称之为亲和定位。具体地,对于每个源类,我们通过使用少量迭代的非目标攻击来计算亲和性目标的子集(例如,1000),然后挑选前10个语义上远的目标类-例如,关于mug”,我们忽略像“cup”这样的目标--基于分类者的自信。然后,我们使用有针对性的攻击使用的亲和力目标。其结果示于表1。为了简洁起见,我们为每个源类显示了三个亲和性目标。(请参阅补充材料了解完整结果。6.2. 物理结果我们描述了攻击算法ditions。我们发现,物理世界的结果一般遵循模拟结果的趋势,这意味着计算一个成功的模拟结果将可能导致一个良好的物理成功率。图4证实了模拟图像在视觉上与物理图像相似。为了确保基线成像条件有效,对于所有物理测试条件,我们在相同曝光、相似环境光和视点下捕获受害对象的图像所有基线图像都被正确地分类为对象(例如,咖啡杯),平均置信度为68%。暴露的影响。我们首先探索我们的攻击有效的摄像机曝光值的范围。图图5a示出了各种常见曝光设置对攻击功效的影响我们观察到,攻击表现相对较好-约94%的目标攻击成功率与67%的信心-在曝光1/750秒和更短。然而,随着曝光时间的延长,攻击的效率会降低,并且它在曝光时间超过1/250s时停止工作。这证实了我们的假设,即较长的曝光开始接近全局快门效应。基于曝光结果,我们选择1/2000s的设置用于以下实验。环境照明。攻击性能取决于照明条件。我们已经通过实验观察到,在广泛变化的照明条件下的EoT不符合我们的攻击。我们通过控制LED输出强度作为总环境照明的一我们计算了不同环境光条件下的不同信号,并在图中显示了它们在1/2000s曝光时的攻击效果5b. 正如预期的那样,攻击表现得更好,因为与环境光相比,LED的相对强度更高。各种观点。我们应用EoT使我们的信号对视点变化具有鲁棒性。图6(行1-2),我们示出了针对两个不同曝光值的不同相机取向和距离的光信号的结果图像所有图片都被归类为“香水”。物理目标攻击成功率为84%,平均置信度为69%,曝光率为1/2000s,成功率为72%,(83%)蜡烛百分之九十八85%(18%)乒乓球百分之七十九68%(27%)路牌显示器百分之九十九94%(12%)(87%)公园长椅百分之九十九90%(13%)口红百分之八十四78%(20%)足球风车百分之九十六87%(15%)14673(a) 曝光(b)环境光强度(c)视场(FoV)图5:评估不同物理设置和摄像机参数的攻击成功率7. 讨论和结论图6:在不同相机方向和两个曝光值(1/2000s(第一行)和1/750s(第二行))下拍摄的图像样本。使用针对相应曝光值优化的两个不同信号。这些图像被分类为第三行-图像被归类为在1/750s曝光时,平均置信度为70%。在不同的相机方向上计算167和194个图像的平均值在图6(第3行)中,我们演示了对不同对象的攻击。视野(FoV)。我们针对不同的FoV占用率值(前景对象像素占整个图像的比例)优化攻击信号,并在模拟中观察到攻击在FoV占用率≤10%之前是稳定的(Fig.5c)。在基线情况下,对象被正确分类,在所有FoV占有率值下,置信度降低至51%,但当FoV占有率≤ 10%时。高频环境源。对于低曝光设置,由交流电(AC)供电的环境光源可以诱导其自身的闪烁模式[35]。这导致正弦闪烁,其时间周期取决于电网的频率,通常为50 Hz或60 Hz。我们可以在我们的成像模型中通过向环境图像添加信号图像分量来解决这个问题,并使用EoT来生成对这种干扰不变的攻击。部署. 我们设想在低光或受控室内照明情况下部署攻击。例如,攻击者可能会破坏家中的LED灯泡,以逃避智能门铃或笔记本电脑上的智能摄像头或人脸识别。这里,攻击者可以获取传感器参数的先验知识他们可以购买类似的设备或在互联网上查找规格)。有了这些知识,攻击者可以针对其用例的常见成像条件预先优化一组信号,在部署时测量情况并发出适当的信号。摘要我们创造了一种新的方法来生成物理对抗性的例子,它不会改变物体,但会操纵照亮它的光通过以高于人类可感知的频率调制光,我们展示了如何创建一个看不见的扰动,卷帘快门相机将感觉到,并且由此产生的图像将被错误分类为攻击者期望的Class.The攻击是动态的,因为攻击者可以通过改变调制模式来改变目标类或获得针对特定环境照明或相机曝光的鲁棒性我们的工作有助于人们越来越多地了解利用机器和人类视觉差异的物理对抗性致谢。这项工作得到了威斯康星大学麦迪逊分校研究和研究生教育副校长办公室的部分支持,资金来自威斯康星校友研究基金会和NSF CAREER奖1943149。14674引用[1]ALVIUM1800u-1240https://www.alliedvision.com/en/products/embedded-vision-cameras/detail/Alvium1[2] AR 023 Z:CMOS图像传感器, 2mp,1/2.7”。https://www.onsemi.com/products/sensors/image-sensors-processors/image-sensors/ar023z. 1[3] Cenek Albl,Zuzana Kukelova,Viktor Larsson,TomasPajdla,and Konrad Schindler.从两个卷帘式快门到一个全局快门,2020年。第1、3条[4] 放大图片作者:Matthew Anderson,Ricardo Motta,S.阿布拉塞卡和迈克尔·斯托克斯。互联网标准默认色彩空间建议。彩色成像会议,1996年。6[5] Anish Athalye,Logan Engstrom,Andrew Ilyas和KevinKwok。合成强大的对抗性示例。机器学习研究论文集第80卷,第284- 293页,斯德哥尔摩,瑞典斯德哥尔摩,2018年7月10日至15日。PMLR。1[6] 阿尼什·阿塔利和伊利亚·苏茨科弗合成鲁棒的对抗性示例。arXiv预印本arXiv:1707.07397,2017。一、二、五、六[7] Battista Biggio,Igino Corona,Davide Maiorca,BlaineNel-son,NedimSrndic' ,PavelLaskov,Gior gioGiacinto,andFabioRoli.在测试时对机器学习进行规避攻击在关于数据库中的机器学习和知识发现的欧洲联合会议上,第387Springer,2013.2[8] Haitham Bou-Ammar,Holger Voos,Wolfgang Ertel.基于强化学习的四旋翼无人机控制器设计在控制应用( CCA ) , 2010 IEEE 国 际 会 议 上 , 第 2130-2135 页IEEE,2010年。1[9] Derek Bradley , Bradley Atcheson , Ivo Ihrke , andWolfgang Heidrich.消费类摄像机阵列的同步和卷帘快门补偿。在IEEE计算机协会计算机视觉和模式识别研讨会会议上,第1-8页,佛罗里达州迈阿密,2009年6月。美国电气与电子工程师协会。3[10] 汤姆·布朗,丹妮尔·马内,奥科·罗伊,马丁·阿巴迪和贾斯汀·吉尔默。对抗补丁。2017. 一、二、六[11] 尼古拉斯·卡里尼和大卫·瓦格纳。对神经网络鲁棒性的评估在安全和隐私(SP),2017年IEEE研讨会上,第39-57页。IEEE,2017年。一、二[12] 梁嘉凯,张立文,和H.H.尘卷帘快门效应的分析IEEETransactions on Image Processing , 17 ( 8 ) : 1323-1330,2008年8月。3[13] 贾登、魏东、理查德·索彻、李力佳、李凯、李菲菲。Imagenet:一个大规模的分层图像数据库。计算机视觉和模式识别,2009年。CVPR 2009年。 IEEE会议,第248-255页。IEEE,2009年。第二、六条[14] Kevin Eykholt、Ivan Evtimov、Earlence Fernandes、BoLi 、 Amir Rahmati 、 Chaowei Xiao 、 Atul Prakash 、Tadayoshi Kohno和Dawn Song。对深度学习视觉分类的鲁 棒 物 理 世 界 攻 击 。 在 计 算 机 视 觉 和 模 式 识 别(CVPR),2018年6月。一、二、四、六[15] Andreas Geiger,Philip Lenz,and Raquel Urtasun.我们准备好自动驾驶了吗?Kitti Vision基准套件。在计算机视觉和模式识别(CVPR),2012年IEEE会议上,第3354-3361页。IEEE,2012年。114675[16] Christopher Geyer,Marci Meingast,and Shankar Sastry.滚动快门相机的几何模型。在Proc. Om-nidirectionalVision,Camera Networks and Non-Classical Cameras,第12-19页,2005中。3[17] Ian J Goodfellow , Jonathy Shlens , and ChristianSzegedy. 解 释 和 利 用 对 抗 性 的 例 子 。 arXiv 预 印 本arXiv:1412.6572,2014年。一、二、五[18] Kensei Jo,Mohit Gupta,and Shree K.纳亚尔迪斯科:使用滚动快门传感器的显示器-摄像机通信。35(5),2016年7月。3[19] Namhoon Kim,Junsu Bae,Cheolhwan Kim,SoyeonPark,and Hong-Gyoo Sohn.使用从移动卷帘快门相机拍摄的单个图像的传感器,20(14):3860,2020。1[20] Diederik Kingma和Jimmy Ba。Adam:随机最佳化的方法。arXiv预印本arXiv:1412.6980,2014年。5[21] Karl Koscher , Alexei Czeskis , Franziska Roesner ,ShwetakPatel,TadayoshiKohno,StephenCheckoway , Damon Mc- Coy , Brian Kantor , DannyAnderson,Hovav Shacham和Stefan Savage。现代汽车的安全性试验分析。在2010年IEEE安全和隐私研讨会论文集,SPIEEE计算机协会。2[22] Alexey Kurakin,Ian Goodfellow,and Samy Bengio.物理 世 界 中 的 对 抗 性 例 子 。 arXiv 预 印 本 arXiv :1607.02533,2016年。2[23] 李慧玉,林浩民,魏玉林,吴心怡,蔡欣慕,林静茹 。 滚 动 光 : 启 用 视 线 光 到 摄 像 头 的 通 信 。 在Proceedings of the 13th Annual International Conferenceon Mobile Systems,Applications,and Services,2015年,美国纽约州纽约市,计算机协会3[24] Juncheng Li,Frank Schmidt,and Zico Kolter.对抗性相机贴纸:对深度学习系统的物理相机攻击。第97卷,Proceedings of Machine Learning Research , 第 3896-3904页,美国加利福尼亚州长滩,2019年6月9日至15日。PMLR。一、二、六[25] Chia-Kai Liang,Li-Wen Chang,and Homer H Chen.卷帘快门效应的分析与补偿IE
我的内容管理
展开
