深度学习目标检测器中的非最大抑制攻击问题

4571体模海绵：利用非最大抑制攻击深度目标探测器阿维沙格·夏皮拉以色列开放大学avishagsh@openu.ac.il阿隆·佐尔菲以色列本-古里安大学zolfi@post.bgu.ac.il意大利热那亚大学luca. unige.it意大利卡利亚里大学battista. unica.itAsaf Shabtai以色列本-古里安大学shabtaia@bgu.ac.il摘要针对基于深度学习的对象检测器的对抗性攻击在过去几年中得到了广泛的研究。提出的大多数攻击都针对模型的完整性（即，导致模型做出不正确的预测），而针对模型可用性的对抗性攻击在本文中，我们提出了一种新的攻击，对端到端对象检测流水线的决策延迟产生负面影响。我们制作了一个通用的对抗扰动（UAP），目标是集成在许多对象检测器管道中的广泛使用的技术-我们的实验证明了所提出的UAP1. 介绍基于深度学习的计算机视觉模型，特别是物体检测（OD）模型，正在成为许多领域智能系统的重要组成部分，包括自动驾驶。这些模型的采用依赖于安全性的两个关键方面：完整性-确保模型预测的准确性和正确性，以及可用性-确保对系统的在过去的几年里，OD模型已经被证明是易受对抗性攻击，包括其中包含对抗性模式的补丁（例如，黑白贴纸[9]、纸板[29]、T恤衫[33，31，12]）放置在目标物体上，或者将物理贴片附着到相机镜头[35]上。这些攻击图1：将我们的UAP添加到驾驶图像和YOLO对扰动图像的预测的说明共享一个主要属性-最近，基于可用性的攻击已被证明对基于深度学习的模型有效。舒-迈洛夫等。[26]提出了海绵示例，这些示例是扰动输入，旨在通过增加分类期间活动神经元的数量来增加部署在硬件加速器上时自然语言处理和计算机视觉模型消耗的能量。遵循这一研究路线，其他研究提出了海绵状攻击，主要针对图像分类模型[4，3，6，11]。据我们所知，没有研究探索创建攻击的能力，该攻击包括OD模型推理等待时间）。常见的端到端OD管线由几个步骤组成：（a）预处理输入图像，（b）将处理后的图像馈送到检测器的网络以获得候选预测，（c）基于候选的置信度分数执行基于规则的过滤，以及（d）使用非最大抑制（NMS）来过滤冗余候选。我们最初的尝试应用海绵攻击提出的Shumailov等人。[26]关于YOLO4572Ci=0时∼∼减速推理处理时间是不成功的;这是由于对于大多数图像，模型的激活值的绝大多数不为零的事实因此，在本文中，我们专注于揭示NMS算法中存在的固有弱点，并利用它们来执行海绵攻击。我们提出了针对端到端OD管道的第一个可用性攻击，该攻击是通过应用通用对抗扰动（UAP）[34，19]来执行的，如图1所示。在所提出的攻击中，基于梯度的优化被用于构造针对NMS算法的弱点的UAP，产生必须由NMS处理的大量候选边界框预测，从而使系统过载并使其变慢。所采用的自定义损失函数也旨在保留原始图像中存在事实上，我们创建了一个通用的扰动，使我们的攻击实用-也就是说我们进行了各种实验，证明我们的攻击由两部分组成：一个基于卷积的主干用于特征提取，然后是多尺度基于网格的检测头，用于预测边界框及其相关标签。这种体系结构设计为近年来提出的许多对 象 检 测 器 建 立 了 基 础 （ 例 如 ， YOLOv4 [2] 、YOLOv5 [13]）。YOLO的探测层。每个探测头的最后一层预测3D张量，其编码：（a）边界框-与锚框的坐标偏移，（b）对象性得分-边界框包含对象的检测器的置信度（Pr（Object）），以及（c）类得分-边界框包含特定类的对象的检测器的置信度（Pr（C类得分））。|Ob j ect））。YOLO的端到端检测管道。YOLO为给定的图像大小产生固定数量的候选预测（表示为），随后使用预定义的阈值Tconf顺序过滤：• 客观评分过滤F1={cobjscore>Tcon f|c∈C}（1）• 无条件类分数过滤使用了四个数据集，其中三个包含驾驶图像）。此外，我们使用集成学习来提高攻击F2={cobjscore·max{cclassscorei}Nc>Tcon f|c∈C}（2）可转移性我们的研究结果表明，使用我们的UAP增加了45%的推理时间，而不影响检测能力（77%的原始对象被检测到的模型时，建议的攻击执行形成）。在视频流实验中，我们的UAP将FPS速率从40（未攻击帧）降低到16。的我们工作的贡献可归纳如下：• 我们提出了第一个可用性（服务质量）攻击端到端OD管道。• 我们构建了一个通用的扰动，可以应用于视频流在实时。• 我们使用不同的对象检测器（包括集成），NMS实现，硬件平台和多个数据集进行了广泛的实验。2. 对象检测器最先进的对象检测模型可以大致分为两种类型：单级检测器（例如， SSD[16]， YOLO[21，22，23]）和两级检测器（例如，Mask R-CNN [10]，Faster R-CNN [24]）。两阶段检测器在第一阶段使用区域建议网络来定位潜在的边界框;这些框用于在第二阶段中对边界框内容进行分类。相比之下，一级检测器同时生成边界框并预测它们的类标签。2.1. YOLO（You Only Look Once）物体探测器在本文中，我们关注最先进的一级物体检测器YOLO [21，22，23]。 YOLO架构最后，由于许多候选预测可能重叠并预测相同的对象，因此应用NMS算法来去除冗余预测。2.2. 非最大抑制（NMS）NMS技术广泛用于两种类型的对象检测器（一级和两级），目的是过滤重叠的边界框预测。在NMS算法的最简单版本（也称为vanilla版本）中，对每个类别分类执行两个步骤：（a）基于所有候选预测的置信度得分对它们进行排序，以及（b）选择最高等级的候选并丢弃交集大于并集（IoU）超过预定阈值T IoU的所有候选（即，边界框在特定级别之上重叠）。重复这两个步骤，直到算法选择或丢弃所有候选项最近，有人提出了对vanilla版本的改进[20];这种改进被称为coordinate trick[1]，它采用了一种新的策略来执行NMS，而无需直接迭代类类别。通过添加仅依赖于预测类别的偏移相同类别的边界框以相同的值添加），属于不同类别的边界框不重叠。因此，NMS可以同时应用于所有边界框。1执行情况见：https://pytorch.org/vision/0.11/_modules/torchvision/ops/boxes.html4573CCC∈XX → C|C||−|−|C|我i=0时|C ′|1Σ图2：我们的方法的管道概述3. 通用海绵攻击我们的目标是生产一种能够增加YOLO物体检测器处理图像的端到端处理时间的数字UAP。我们的攻击旨在实现以下目标：（i）增加对象检测器处理图像所花费的时间量;（ii）创建可以应用于图像流内的任何图像（帧）的通用扰动，例如在自动驾驶场景中;以及（iii）保持图像中原始对象的检测。3.1. 威胁模型如第2节所述，YOLO输出固定数量的候选项，即，对于相同大小的图像的计算（矩阵乘法）的数量是相等的。因此，YOLO端到端检测的弱点NMS算法在所有候选的边界框上迭代保留或丢弃）。因此，增加算法处理的输入数量将导致延迟。到最大限度地利用了算法被检查的边界框（最高等级）和所有其它边界框的IoU值都低于TIoU，没有其它边界框被丢弃，并且所有边界框继续进行下一次迭代（除了被检查的一个被保留），即，j+1=j1。在这种情况下，NMS算法运行时复杂度为阶乘：O（|C|！）.在NMS的vanilla版本中，这种情况可以通过提供相同类类别的输入（有针对性的攻击）来实现，而在coordinate trick版本中，它可以不需要专门提供一个目标类。3.2. 优化过程为了优化我们的扰动我们构造了一个新的损失函数，旨在实现上述目标;我们的损失函数由三个部分组成：（a）最大对象损失，（b）边界框面积损失和（c）IoU损失。最大对象丢失。设g：是一个YOLO检测器，它获取干净的图像x并输出一组候选图像=g（x）.类似地，设π（x）为扰动函数，′=g（π（x））为扰动图像产生的候选集。 为简单起见，设F是F1和F2的合成，使得F=F2（F1（））。为了增加通过的候选人人数，在NMS步骤（F（′））中，我们需要增加未被F过滤的预测的数量。因此，我们的目标是增加不超过Tconf的所有候选项的置信度得分，如图3所示。我们还将候选人的置信度得分的增加限制更正式地说，单个候选人c的非目标损失是：singleconf（c）=Tconf−（cobj score·max{cclass score}Nc ）（3）然而，由于有针对性的攻击适用于两个NMS版本，因此我们将公式3替换为：single conf（c）=T conf−（c obj score·c target class score）（4）虽然该组件侧重于预测的置信度，但我们还希望考虑 通 过F 过 滤 的 候 选数 据 的 数 量 （ 在NMS 步 骤 之前）。因此，在所有被过滤的候选上的损失（C′\F（C′））是：·conmax objects=·conmaxsingle conf（c′）（5）c′∈C′\F（C′）迭代j中的剩余候选。在最坏的情况下，如果4574·bbox区域∈DPΣ边界框区域丢失。为了利用NMS的阶乘时间复杂度弱点，我们的目标是减少所有边界框的面积，这最终会导致所有边界框中的IoU值较低。更正式地说，我们考虑单个绑定框的以下损失单面积（b）=bw·bh，（6）其中b是边界框，bw和bh分别是标准化的应用于传递到NMS步骤F（C′）的所有候选项的损失函数表示为：包围训练。为了提高我们的攻击到不同对象检测模型的可转移性，我们使用K个模型执行增强训练，其中在每次迭代中，随机选择不同的YOLO模型gk（k K）来反向传播和更新扰动像素。无扰动λ1 = 0。6λ1= 1。0=1|c′ ∈ F（C ′）|c′∈F(C′)单个区域（c′bbox）（7）减少边界框的面积所引起的积极副作用是降低UAP中边界框的密度，为要添加的其他候选者提供额外的空间，这是我们的攻击受益的地方。损失损失。为了实现我们的第三个目标，即能够检测图像中的原始对象，我们的目标是最大化最终预测在 干 净 图 像 NMS （ F （ C ） ） 和 副 图 像 NMS （ F（C′））中的边界框（在NMS步骤之后保持的预测）。因此，对于单个候选者c∈NMS（F（C）），我们提取最大IoU值：图3：顶部：使用不同λ1训练的UAP;中部：每个最大IoU（c）=最大c′∈NMS（F（C′））IoU（cbbox，c′bbox）（8）具有使用YOLOv 5预测的相应UAP的涡轮图像;下图：候选人信心热图更准确地说，由于我们的目标是最小化损失函数，并且IoUsingleIoU（c）=1−Max IoU（c）（9）最 后， 该 分量 在 由检 测 器对 干 净图 像NMS （ F（C））产生的所有最终预测上的损失定义如下：1最大IoU=·最小单个IoU（c）（10）得分红色（分别蓝色）代表候选人（分别为不）传递到NMS。4. 评价4.1. 评估设置模型在我们的评估中，我们对各种版本的最先进的YOLO 对 象 检 测 器 （ YOLOv3[23] ， YOLOv4[2] 和YOLOv5[13]）进行实验，预处理在MS-COCO数据集上训练[15]。YOLOv 5提供七个-|NMS (F(C))|c∈NMS（F（C））不同规模的模型网络[13]（小型，中型等）。不同的YOLO版本在概念上是相似的，应该注意的是，由于我们使用对象检测器的预测（而不是地面实况标签），因此我们的攻击并不限于带注释的最终损失函数。由于我们考虑了一个普适扰动，其中选择单个扰动P来最小化来自某个分布的样本上的损失函数，因此攻击的最终损失函数定义如下：最小Ex最 大D[λ1· 最 大 对 象+λ2· 最 大 盒 面 积+λ3· 最 大 IoU]（11）其中λi是加权因子。计算的梯度被反向传播以更新我们的扰动的像素。图2给出了我们的攻击的一次迭代的概述这使得能够为单个模型和模型集合创建通用攻击。数据集。 我们使用以下数据集评估我们在自动驾驶领域的攻击：（a）Berkeley Deep-Drive（BDD）[32]-包含100 K图像，具有各种属性，如天气（晴朗，下雨），场景（城市街道，住宅）和一天中的时间（白天，夜晚），从而产生多样化的数据集;（b）地图交通标志数据集（MTSD）[7]-从不同地理区域获得的各种街道级图像;以及（c）LISA [18] -包含数十个分成帧的视频剪辑。此外，我们评估我们的攻击在一般设置（即，图像取自各个领域）使用PASCAL VOC[8]数据集。4575|C|清洁λ2=0λ2 =10λ2 =20总时间（NMS时间）↑/|F（C′）|↑/回忆↑24（2.2）/ 80/100%随机24（2.2）/ 60 /53.7%λ1=0.5，λ3=0.524（2.2）/ 80 /100%24（2.2）/ 80 /100%30.4（8.6）/ 7200 /80.3%λ1=0.6，λ3=0.4 24（2.2）/ 80 /100%34.8（13）/ 9000 /77%32.9（11.1）/ 8100 /77%λ1=0.7，λ3=0.333（11.2）/ 8600 /75%35.8（14）/ 9100 /75%35.4（13.6）/9 000/73%λ1=0.8，λ3=0.235.9（14.1）/ 10300 /67.4%37.3（15.5）/ 10800/65.9%36.9（15.1）/ 10600/65.3%λ1=1，λ3=038.9（17.1）/ 12500 /37.7%42.9（21.1）/ 12800/35.8%41.7（19.9）/ 12600/35%随机23.9（2.1）/ 20 /15%λ1=0.5，λ3=0.5 24（2.2）/ 80/100% 24（2.2）/ 80 /100%32.4（10.6）/ 8000 /74%λ1=0.6，λ3=0.424（2.2）/ 80/100%35.6（13.8）/ 9600 /69.6%35.1（13.3）/ 9100 /69%λ1=0.7，λ3=0.336.9（15.1）/11200/65% 42.1（20.3）/ 13800 /56%37.1（15.3）/ 10800/64.4%λ1=0.8，λ3=0.246.6（24.8）/15600/47.4% 47.6（25.8）/ 16000 /45.3%47.8（26）/ 15900 /44.2%λ1=1，λ3=056.5（34.7）/ 18800/21.8% 58.9（37.1）/ 19200 /18%57.6（35.8）/ 18800/16.5%表1：使用不同λi和λ m值时的平均结果（不同损失函数分量权重平衡）。粗体表示我们认为UAP灰色单元表示攻击返回空的UAP（与干净图像相同的结果↑表示值越高越好。评估指标。 我们的攻击旨在实现的两个目标是增加模型的端到端推理时间，并保留原始图像中对象的检测。为了量化我们的攻击在实现这些目标方面的有效性，我们使用了以下指标：（i）F（′）-在应用置信度过滤器F之后提供给NMS算法的候选者的数量;（ii）时间-端到端检测流水线的以毫秒为单位的总处理时间（我们还测量了NMS阶段的处理时间）;以及（iii）召回-在扰动图像中检测到的原始对象的数量。实作详细数据。 对于目标型号，我们使用了小型YOLOv5 版 本 （ 称 为 YOLOv5s ） 以 及 YOLOv3 和YOLOv4。对于集成学习，我们使用了这些模型的不同组合。为了评估我们的对抗性扰动，我们从每个数据集（BDD，MTSD和PASCAL）的验证集中随机选择了2,000张图像。对于每个数据集，我们使用了1,500张图像来训练UAP，然后在剩余的500张图像上检查其有效性。我们设置T conf=0。25且T IoU=0。45，因为它们是在推断阶段通常用于这些模型的默认值（在整个本节中，所呈现的召回值基于该阈值）。我们选择汽车类作为攻击的目标类，因为它与自动驾驶领域有着明确的为了获得无偏的测量，我们对每个图像进行了30次迭代，并计算了平均推理时间。 实验在GPU（ NVIDIA Quadro T1000 ） 和 CPU （ Intel Core i7-9750 H）上进行。 除非另有说明，否则实验是在BDD数据集上进行的，运行时间是使用坐标技巧NMS实现来测量的。源代码可在：https：//github.com/AvishagS422/PhantomSponges网站。4.2. 结果具有不同预（检）值的UAP的有效性。PGD攻击中的参数λ表示超球面的半径，即，要添加到图像的最大噪声量更大的扰动值将导致更实质的扰动，其虽然对于人眼更可感知表1显示了不同的可编程值的结果正如预期的那样，我们可以看到，置信度值越大，超过置信度阈值并由NMS处理的候选预测的数量就越大，几乎达到了可能候选的最大数量。此外，我们提出了一个基线攻击的结果-扰动可以看出，涉及这些随机UAP的攻击是不成功的，甚至减少了NMS处理时间。具有不同λ1和λ3值的UAP的有效性。λ1和λ3值可以控制最大对象和IoU损失分量之间的平衡由于每个组件的目的可能是矛盾的，我们选择使用互补值来平衡这两个组件;因此，λ3=1 −λ1。直观地，λ1值越高，传递到NMS步骤的候选的数目越大;然而，与此同时，召回值降低，即，保留的原始对象较少。表1列出了不同组合的结果。 例如，当使用以λ 1 = 1的配置训练的UAP时，NMS处理19、200个候选，同时仅保留原始对象的18%，这与λ1=0的配置相反。7，增加了13800个候选人，但召回率提高到56%。4576|C|∼通过视觉检查图3中呈现的UAP，我们可以看到，当设置λ3>0（λ11）时，攻击检测原始图像中通常出现对象的区域，迫使扰动在图像的侧面上添加候选，<相反，当设置λ3=0时，可以在整个图像上添加。这是一个预期的结果，因为在这些区域中自然会有更少的物体（在自动驾驶领域中，我们通常会发现天空，道路或人行道）。此外，我们可以看到，在某一λ1值以下，损失函数强烈地倾向于保留原始图像中的物体的检测，从而导致不成功的攻击，即，UAP保持不变，并且没有添加“幻影”对象（在表1中可以看到导致这种行为的不同超参数配置）。具有不同λ 2值的UAP的有效性。如第3节所述，最小化NMS处理的候选项之间的IoU会导致每次迭代中丢弃的候选项更少，从而导致NMS执行更多迭代。因此，我们评估了边界框区域损失组件在三个不同λ2值上的有效性 通过检查结果（表1），我们可以看到，当比较具有相似F（′）的UAPs时，该组件增加了NMS的处理时间。然而，使用过大的λ2值可能会减少NMS处理的候选的数量。我们认为这是因为攻击无法适当地减少大量候选对象的绑定框区域，因此无法减少总损失值。因此，更少的候选人被传递到NMS。另一个有趣的观察结果是，增加λ2值可以使λ3值增加，而不会破坏最大对象和IoU损失分量之间的平衡我们可以看到，使用较大的λ2值（=20）允许λ3值增加到0.5，并导致具有高召回值（80.3%）的UAP。香草NMS与坐标技巧NMS。由于我们的目标是执行一个通用的攻击，将成功地耗尽NMS算法，我们检查其有效性的两个不同版本的算法：香草和坐标技巧图4显示了使用攻击的目标版本和非目标版本创建的UAPs的vanilla版本运行时间的巨大差异与非目标设置相比，普通版本的运行时间在目标设置中显著增加，而坐标技巧版本的运行时间在两个我们还可以看到，对于针对性攻击，普通和坐标技巧在不同的硬件平台上执行攻击我们用不同的λi和λm值对攻击进行了图4：不同NMS实现的NMS处理时间：坐标技巧与香草味的。(a)（b）第（1）款图5：在不同硬件平台上的平均运行时间：（a）GPU和（b）CPU。在GPU和CPU上。该攻击在两个平台上都有效，增加了不同UAP的推理时间。图5显示了三种不同UAP的GPU和CPU推理时间结果。不同型号的UAP。为了证明我们的攻击的通用性，我们在三个不同版本的YOLO上进行了评估：YOLOv3、YOLOv4和YOLOv5s。图6所示的结果表明，攻击对三种模型都有效我们可以看到YOLOv3是最不健壮的有趣的是，YOLOv 4比YOLOv 5更强大，因为它的两阶段训练过程，其中主干在ImageNet[25]数据集上进行预训练，然后在MS-COCO[15]数据集上进行微调以进行对象检测，而YOLOv 5则是在MS-COCO上从头开始训练的。不同的数据集。我们使用来自三个数据集（BDD，MTSD和PASCAL-VOC）的图像训练了UAP，并评估了它们在看不见的图像上的有效性。在表2中，可以看出，当不考虑原始对象的检测的保留时（配置2），我们能够为三个数据集中的每一个创建有效的UAP（即，将20K对象传递到NMS步骤）。 然而，当我们旨在保留原始对象的检测时（配置1），三个数据集的性能有所不同。对于属于特定域的数据集（BDD，MTSD ） 有 良 好 的 保 存 ， 而 对 于 更 一 般 的 数 据 集（PASCAL-VOC）则不能令人满意。4577图6：针对不同版本的YOLO训练的UAP的性能。不同的颜色代表不同的UAP配置：蓝色：干净图像，红色：（λ1，λ2）=（30，0. 6，10），绿色：（λ1，λ2）=（70，0. 8，10），和紫色：（λ1，λ2）=（70，1，10）。BDD MTSD PASCAL-VOCNMS时间（ms）↑/|F（C′）|↑/回忆↑清洁2.2 / 80/100% 2.1 / 40/100% 2.2 / 50 /100%配置113 / 9000/77% 12.1 / 8700/78.1% 5.4 / 3000 /72%配置237.1 / 19200/18% 37 / 19400/10% 32.6 / 18200 /3.7%表2：三个不同数据集的UAP平均结果。配置1：（λ，λ1，λ2）=（30，0. 配置2：（λ1，λ2）=（70，1，10）如 前 所 述 ， 当 试 图 保 持 对 原 始 对 象 的 检 测 时（λ3>0），我们的攻击集中在原始对象通常不出现的区域中添加幻影对象。因此，当我们在特定领域（如自动驾驶）中应用攻击时（与一般设置相反），攻击更容易平衡损失分量，因为图像共享关于对象位置的共同特征综合学习。正如[14]中所讨论的，在某些情况下，可转让性很难实现。使用集成学习可以使攻击克服可转移性，在存在一组可供攻击者使用的可疑/潜在目标模型，但攻击者不知道所使用的特定目标模型的情况下，存在安全性挑战。然而，即使这样，基于集合的攻击也可能无法成功，因为同时在多个模型上比在单个模型上更成功;因此，我们选择评估一个基于集合的攻击版本。表3中给出的结果证明了使用增强技术创建的UAP的有效性 可以看出，UAP不需要-受害者模型YOLOv3 YOLOv4 YOLOv5sNMS时间（ms）↑/|F（C′）|↑/回忆↑YOLOv5s2.1/ 10/10% 2.1 / 5/5%37.1 / 19200 /18%Ens12.2/ 10/12%15.1 / 10200 / 11.8%23.5/ 14600 /16.7%Ens223.2/ 14500 / 15%16.6/ 11800 / 10.2%20.2/ 13400 /28.7%表3：使用集成技术训练并在不同YOLO版本上评估的UAP的平均结果Ens 1：YOLOv4 + YOLOv3; Ens 2：YOLOv5 + YOLOv4 +YOLOv 3;构型：（λ1，λ2）=（70，1，10）。最终转移到其他型号。例如，当使用YOLOv5作为目标模型时，UAP无法转移到YOLOv3和YOLO4（即，推理时间不增加）。然而，当我们结合集成技术时，UAP能够概括它训练的所有模型这些结果表明，尝试执行攻击的攻击者不需要知道模型的类型/版本。为了执行成功的攻击，在模型集合上训练的一个UAP可能是有效的。实时视频流设置。为了证明我们的攻击在实践中对推理时间的影响，我们从LISA数据集中随机选择了15个视频片段，并测试了每个视频片段中的前500帧。每个帧都应用了我们的UAP（在BDD数据集图像上训练，配置如下：λ=70，λ1=1，λ2=10），并由YOLOv 5检测器处理。为了说明UAP对整个运行时间的影响，我们还测量了干净帧（未受攻击）的时间。平均而言，一个干净视频的总运行时间为12，300毫秒（12.3秒），而处理一个受攻击的视频需要31，000毫秒（31秒）就单帧的处理时间而言，一个干净的帧在24.7ms（对于NMS阶段为3ms）内被处理，而一个被攻击的帧的处理时间 因此，在在未受攻击的情况下，系统可以以1040FPS的速率输出预测，而我们的UAP将FPS降低到1016。4.3. 讨论“幽灵”的预言。基于我们的实验结果，我们可以得出结论，任何类类别可以被定义为目标类，而不会影响攻击的性能。然而，研究不同目标类别的UAP模式是有趣的。图7显示了使用汽车和人类作为目标类训练的UAP，我们可以看到创建的模式似乎由属于目标类的数千个微小对象组成。对于我们的攻击的非目标版本，UAP主要增加了人和椅子类预测。我们假设这与模型是在COCO-MS数据集上预训练的事实有关[15]，其中4578×图7：为两个不同的目标类创建的UAP（小框），以及对其模式的进一步观察（大框）。减灾一个可能的缓解我们的攻击是限制图像的处理时间。在这种情况下，如果处理时间超过预定义的阈值，则系统将中断检测过程。虽然这种缓解可以限制系统的延迟时间，但它实际上是为了攻击者的目的-损害系统的可用性。另一种方法是限制传递给NMS的候选数据的数量;然而，这也可以通过损害模型的完整性来服务于攻击者的目的。因此，所建议的缓解可能不是用于实时系统（诸如自动驾驶车辆的OD系统）的适当解决方案，因为每隔几帧中断检测过程可能具有严重后果，危及汽车的驾驶员和乘客、行人以及道路上的其他驾驶员。更有效的缓解措施应侧重于实时检测攻击和消除5. 相关工作OD模型的对抗性攻击在过去几年中得到了广泛的研究[1]。以前的大多数研究都集中在破坏模型5.1. 基于完整性的攻击最初，基于完整性的对抗性攻击集中在图像分类模型上（例如FGSM [28]，PGD [17]）。后来，对OD模型的攻击被证明。为了逃 避更快的R-CNN的检测[24]，Chenet al. [5]印刷的停车标志，在背景中包含一个对抗性的图案。Sitawarin等人[27]精心制作的有毒交通标志，视觉上与原始标志相似。Thys等人[29]首先提出了一种针对个人探测器的攻击，使用一个硬纸板板连接到攻击者的身体上。在这种方法的改进版本中，对抗图案被印在T恤上[31，33]。Wang等人[30]提出了对NMS组件的对抗性攻击;他们攻击的目标是增加受攻击图像中的最终预测数量虽然作者专注于通过向最终图像预测添加大量对象来损害模型的完整性，但我们的目标是攻击模型在-增加NMS处理时间）。此外，它们的扰动针对每个图像进行训练（定制扰动），而不像我们的通用扰动只训练一次。如前所述，这些关于OD的研究都没有提出针对系统可用性的方法5.2. 基于安全性的攻击尽管系统的可用性是许多应用程序的安全关键方面，但基于可用性的攻击最近才引起Shumailov等人[26]是第一个提出针对计算机视觉和NLP模型可用性的攻击（称为海绵示例）的人;作者证明了对抗性示例能够使基于NLP变换器的模型的推理时间增加一倍，推理时间比常规输入多6000Boutros等人[4]扩展了海绵攻击的例子，使其可以应用于FPGA器件。在[3]中，作者提出了创建海绵示例的方法，这些示例保留了原始输入Cina等人[6]提出了海绵中毒，一种在训练过程中进行海绵攻击的技术，导致中毒模型的per-prone下降。Hong等人[11]表明，精心制作对抗性示例（包括通用扰动）可以减慢多出口网络。鉴于上述研究针对的是计算机视觉领域的分类模型，在本文中，我们专注于OD模型，这是一个尚未被研究界解决的目标此外，我们提出了一个通用的扰动，能够愚弄所有的图像同时。应当注意，由于OD域中图像的多样性（即，对象出现在图像上的不同位置和不同尺度），但是创建成功的通用扰动的能力是具有挑战性的。6. 结论在本文中，我们提出了一个UAP，大大增加了推理时间的国家的最先进的YOLO对象检测器。该UAP将“幻影”对象添加通过证明YOLO容易受到我们的攻击，可以假设其他OD模型中的NMS算法也容易受到攻击，并且可以通过应用我们的攻击原理进行类似的攻击在今后的工作中，我们计划：（1）通过添加一种技术来消除最终预测中的“幻影”对象，从而使攻击不易被检测到，从而改进攻击;（2）从数字域转移到现实世界的场景中，例如，通过在相机镜头上放置半透明补丁（类似于[35]）;以及（3）开发能够实时识别“幻影”对象的对策。4579引用[1] Naveed Akhtar和Ajmal Mian。对抗性攻击对计算机视觉中深度学习的威胁：一个调查。IECMS Access，6：14410[2] Alexey Bochkovskiy，Chien-Yao Wang，and Hong-YuanMark Liao. Yolov4：目标检测的最佳速度和准确性。arXiv预印本arXiv：2004.10934，2020。[3] Nicholas Boucher ， Ilia Shumailov ， Ross Anderson 和Nicolas Papernot。不好的字符：无法察觉的nlp攻击。arXiv预印本arXiv：2106.09898，2021。[4] 安德鲁·布特罗斯，马修·霍尔，尼古拉斯·帕佩诺，沃恩·贝茨。来自地狱的邻居：针对多租户FPGA上深度学习加速器的电压攻击。2020年国际现场可编程技术会议（ICFPT），第103-111页IEEE，2020年。[5] Shang-Tse Chen ， Cory Cornelius ， Jason Martin ， andDuen Horng Polo Chau.变形者：更快的r-cnn对象检测器的强大物理对抗攻击。在数据库中的机器学习和知识发现联合欧洲会议上，第52-68页。Springer，2018.[6] AntonioEmanueleCina`，AmbraDemontis，BattistaBiggio，Fabio Roli和Marcello Pelillo。通过海绵中 毒 的 能 量 延 迟 攻 击 。 arXiv 预 印 本 arXiv ：2203.08147，2022。[7] Christian Ertler ， Jerneja Mislej ， Tobias Ollmann ，Lorenzo Porzi，Gerhard Neuhold，and Yubin Kuang.用于全球范围内检测和分类的地图交通标志数据集欧洲计算机视觉会议，第68-84页。Springer，2020年。[8] Mark Everingham、SM Eslami、Luc Van Gool、Christo-pher KI Williams 、 John Winn 和 Andrew Zisserman 。PascalVisualObjectClassesChallenge：ARetrospective.International Journal of Computer Vision，111（1）：98[9] Kevin Eykholt、Ivan Evtimov、Earlence Fernandes、BoLi 、 Amir Rahmati 、 Chaowei Xiao 、 Atul Prakash 、Tadayoshi Kohno和Dawn Song。对深度学习视觉分类的强大物理世界攻击。在IEEE计算机视觉和模式识别会议论文集，第1625-1634页[10] KaimingHe ， GeorgiaGkioxari ， PiotrDolla'r ，andRossGir-shick.面具R-CNN。在IEEE计算机视觉国际会议论文集，第2961-2969页[11] SanghyunHong， YigYunitcanKaya ， IonuYunt-VladModoranu，andTudor Dumitras.熊猫？不，是树懒：减缓自适应多出口神经网络推理。arXiv预印本arXiv：2010.02432，2020。[12] Lifeng Huang， Chengying Gao ， Yuyin Zhou ， CihangXie，Alan L Yuille，Chinging Zou，and Ning Liu.对目标探测器的通用物理伪装攻击在IEEE/CVF计算机视觉和模式识别会议论文集，第720-729页，2020年[13] 格伦·乔彻ultralytics/yolov 5：v6.0-yolov 5 n[14] Ziv Katzir 和 Yuval Elovici 谁 arXiv 预 印 本 arXiv ：2105.00433，2021。[15] Tsung-Yi Lin，Michael Maire，Serge Belongie，JamesHays ， PietroPerona ， DevaRamanan ， PiotrDolla'r ，andCLa wrence齐特尼克微软coco：上下文中的公用对象。欧洲计算机视觉会议，第740-755页。Springer，2014.[16] Wei Liu ， Dragomir Anguelov ， Dumitru Erhan ，Christian Szegedy ， Scott Reed ， Cheng-Yang Fu ， andAlexander C Berg. Ssd：单发多盒探测器。在欧洲计算机视觉会议上，第21-37页。施普林格，2016年。[17] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。迈向抵抗对抗 性 攻 击 的 深 度 学 习 模 型 。 arXiv 预 印 本 arXiv ：1706.06083，2017。[18] Andreas Mogelmose ， Mohan Manubhai Trivedi ， andThomas B Moeslund.智能驾驶辅助系统的基于视觉的交通标志检测和分析：展望和调查。IEEE Transactions onIntelligent Trans-portation Systems，13（4）：1484[19] Seyed-Mohsen Moosavi-Dezfooli ， Alhussein Fawzi ，Omar Fawzi，and Pascal Frossard.普遍对抗性扰动。在IEEE计算机视觉和模式识别会议论文集，第1765-1773页[20] Adam Paszke ， Sam Gross ， Francisco Massa ， AdamLerer ， James Bradbury ， Gregory Chanan ， TrevorKilleen ， Zeming Lin ， Natalia Gimelshein ， LucaAntiga，et al.Pytorch：一个操作风格的高性能深度学习库。神经信息处理系统的进展，32，2019。[21] Joseph Redmon，Santosh Divvala，Ross Girshick，andAli Farhadi.你只看一次：统一的实时对象检测。在IEEE计算机视觉和模式识别集，第779-788页[22] 约瑟夫·雷德蒙和阿里·法哈迪Yolo9000：更好，更快，更强。在IEEE计算机视觉和模式识别会议论文集，第7263-7271页[23] 约瑟夫·雷德蒙和阿里·法哈迪Yolov3：一个渐进的改进。arXiv预印本arXiv：1804.02767，2018。[24] 任少卿、何开明、罗斯·格尔