江苏龙网

  1. 首页 > 资讯 > 科技 > >

机器之心|全球首例,Adversarial T-shirt让你在AI检测系统隐身( 二 )


最近的一些工作例如 Simen Thys 等人(Fooling automated surveillance cameras: adversarial patches to attack person detection)通过将对抗样本打印到一个纸板上挂在人身前也可以成功在特定环境下攻击目标检测器 , 但是却没有 T 恤上的图案显得自然且对对抗样本的形变和运动中的目标没有进行研究 。
来自美国东北大学 , MIT-IBM Watson AI Lab 和 MIT 联合研发的这款 Adversarial T-shirt 试图解决上述问题 , 并在对抗 YOLOV2 和 Faster R-CNN(两种非常普及的目标检测系统)中取得了较好的效果 。 通过采集实验者穿上这件 Adversarial T-shirt 进行多个场景和姿态的视频采集 , 在 YOLOV2 中 , 可以达到 57% 的攻击成功率 , 相较而言 , YOLOV2 对没有穿 Adversarial T-shirt 的人类目标的检测成功率为 97% 。
设计原理
从多个已有的成功的攻击算法中得到启发 , 研究者们通过一种叫 EOT (Expectation over Transformation) 的算法 , 将可能发生在现实世界中的多种 Transformation(转换)通过模拟和求期望来拟合现实 。 这些转换一般包括:缩放、旋转、模糊、光线变化和随机噪声等 。 利用 EOT , 我们可以对刚性物体进行对抗样本的生成 。
但是当研究者们仅仅使用 EOT , 将得到的对抗样本打印到一件 T 恤上时 , 仅仅只能达到 19% 的攻击成功率 。 这其中的主要原因就是文章上述提到的 , 人类的姿态会使对抗样本产生褶皱 , 而这种褶皱是无法通过已有的 EOT 进行模拟的 。 而对抗样本自身也是非常脆弱的 , 一旦部分信息丢失往往会导致整个样本失去效力 。
基于以上观察 , 研究者们利用一种叫做 thin plate spline (TPS) 的变化来模拟衣服的褶皱规律 。 这种变化需要记录一些 anchor points(锚点)数据来拟合变化 。 于是研究者将一个棋盘格样式的图案打印到 T 恤上来记录棋盘格中的每个方块角的坐标信息 , 如下图所示:
机器之心|全球首例,Adversarial T-shirt让你在AI检测系统隐身
本文插图

这些锚点的坐标可以通过特定的算法自动得到无需手动标记 。 这样一个人工构建的 TPS 变化被加入了传统的 EOT 算法 。 这使得生成的对抗样本具备抗褶皱扰动的能力 。
除此之外 , 研究者们还针对光线和摄像头可能引起的潜在变化利用一种色谱图进行的模拟 , 如下图所示:(a)数字领域中的色谱图;(b)该图通过打印机打印到 T 恤只会在通过相机捕捉到的结果;(c)通过映射 a-b 学到的一种色彩变换 。
机器之心|全球首例,Adversarial T-shirt让你在AI检测系统隐身
本文插图

基于学习出的色彩变化系统 , 使得生成的对抗样本能最大限度的接近现实 。 最终该方法的整体框架如下:
【机器之心|全球首例,Adversarial T-shirt让你在AI检测系统隐身】机器之心|全球首例,Adversarial T-shirt让你在AI检测系统隐身
本文插图

通过增强的 EOT 和颜色转换系统 , 最小化 YOLOV2 的检测置信度 , 最终得到一个对抗样本 。
除此之外 , 研究者们也第一次尝试了 ensemble attack (多模型攻击) 。 利用一张对抗样本同时攻击两个目标检测系统 YOLOV2 和 Faster R-CNN 。 结果显示不同于传统的加权平均的攻击方 , 利用鲁棒优化技术可以提高对两个目标检测系统的平均攻击成功率 。
实验结果
首先 , 研究者们在数字领域做了基础的比较试验 , 结果发现相较于非刚性变化—仿射变换 , TPS 变化可以将攻击成功率在 YOLOV2 上从 48% 提升到 74% , 在 Faster R-CNN 上由 34% 提升到 61%!这证明了对于柔性物体 , 加入 TPS 变化的必要性 。
之后研究人员将这些对抗样本打印到白色 T 恤上 , 让穿戴者在不同场合以各种姿态移动并对其录制视频 。 最后将采集到的所有视频送入目标检测系统进行检测 , 统计攻击成功率 。


推荐阅读


上一篇:科学|一种新型智能织物可根据温度自行充气和放气

下一篇:云计算|限时免费欢迎体验!腾讯云SOC推出云上“安全体检”功能