基於DNN的黑盒對象探測器的對抗攻擊
摘要
對象檢測模型作爲物聯網設備的核心部件之一,在各種物聯網設備中起着至關重要的作用。科學實驗證明,對象檢測模型容易受到對抗性例子的影響。直到此時,針對目標檢測模型提出了一些攻擊方法,但現有的攻擊方法只能攻擊白盒模型或特定類型的黑盒模型。本文提出了一種新的黑盒攻擊方法—蒸發攻擊,它可以成功地攻擊基於迴歸和基於區域的檢測模型。爲了對不同類型的目標檢測模型進行有效的攻擊,我們設計了一種優化算法,該算法僅利用模型的預測的位置和標籤信息來生成對抗性的實例。蒸發攻擊可以在不包含任何模型內部信息的情況下對檢測模型隱藏目標。這個場景在攻擊者面對的真實世界中非常實用。在所有對象都隱藏的前提下,我們的方法在基於迴歸的YOLOv3上獲得了84%的fooling rate,在基於區域的Faster-R-CNN上獲得了48%的fooling rate。
1 介紹
· 近年來,深層神經網絡(款)發展迅速,取得卓越的進步,各種深度學習模型由卷積神經網絡(CNN)已經廣泛應用於各種計算機視覺任務,如圖像分類、目標檢測,圖像分割,等等 除此之外,深度學習在物聯網應用中已獲得了高度的關注,包括自駕車輛和人臉識別歸功於其出色的精度。
· 然而,最近的研究表明,深層神經網絡容易受到反面例子的影響。反面例子可以通過產生細微的干擾來愚弄深層神經網絡,而這些干擾是人類很難感知原始輸入的。他們發現,深度神經網絡很容易對對抗性的例子進行錯誤分類。對抗性的例子可能會導致安全問題,因爲它們可能被用來攻擊DNNs支持的安全關鍵的物聯網系統。爲此,提出了許多攻擊圖像分類模型的方法,如FGSM、C&W (Carlini and Wagner, 2017)、PGD (Madry et al., 2017)等。隨着對抗實例的研究不斷增加,深度學習安全已經成爲安全領域的重要組成部分,就像隱私保護(Guan et al., 2019a)和可搜索加密(Guan et al.,2019)等傳統主題一樣。
` 目標檢測是計算機視覺領域的主要任務之一。此外,爲了識別和分類圖像中的每個對象,對象檢測模型還可以通過在周圍繪製適當大小的邊界框來定位對象。這使得目標檢測比圖像分類複雜得多。目前,對象檢測模型主要分爲兩大類:一類是基於迴歸的單階段模型(Redmon和Farhadi, 2017;Redmon等,2016;以YOLOv3 (Redmonand Farhadi, 2018)爲代表,另一種是基於區域建議的兩階段模型(Dai et al., 2016;He et al., 2017)以Faster R CNN爲代表(Ren et al., 2015)。
· 對周圍環境的檢測和識別是物聯網設備的基本功能之一,也是對其他功能的重要支撐。在衆多的物聯網設備中,基於深度學習的對象檢測模型扮演着重要的角色。目標檢測模型的錯誤會直接導致物聯網設備的問題,並可能導致嚴重的後果。因此,目標檢測模型的安全性越來越受到人們的重視。我們通過基於DNN的黑箱目標檢測模型的對抗攻擊,展現了目標檢測模型的脆弱性。
· 對象檢測模型在面對對抗實例時也容易受到攻擊。目前,針對目標檢測模型提出了一些方法。Xie等(2017)提出了一種基於優化的白盒攻擊,稱爲DAG,它成功地攻擊了Faster-R-CNN和語義分割模型。Xin等(Liu等,2018)提出了一種名爲DPATCH的白盒攻擊,通過添加一個對抗性的patch來削弱目標探測器。Li等(2018)提出了R-AP方法,通過破壞區域建議網絡(RPN)來攻擊基於區域的目標檢測模型和實例分割模型。這些方法有很好的效果。然而,DAG和DPATCH方法只能攻擊白盒對象檢測模型,R-AP方法只能攻擊包含RPN組件的黑盒模型。在真實場景中,攻擊者經常面對一種未知類型的黑盒模型,它無法獲取任何內部信息,這意味着我們需要一種黑盒攻擊方法來對抗基於迴歸和基於區域的對象檢測模型。
· 爲了解決這個問題,我們提出了一種針對不同類型對象檢測模型的黑盒攻擊方法——蒸發攻擊(EA)。蒸發攻擊實現了基於對目標模型的查詢的黑盒攻擊,在不訪問模型內部信息的情況下,對基於區域的檢測模型和基於迴歸的檢測模型都有顯著的效果。“蒸發”是指我們的攻擊可以使目標逃脫目標探測器的檢測(圖1),從而實現對目標檢測模型的攻擊。攻擊黑盒模型的主要挑戰是不能訪問模型的訓練數據或任何內部信息,只能通過查詢得到模型的標準輸出,然後利用有限的信息生成對抗性的例子。因此,我們將黑盒攻擊問題表示爲樣本圖像流形中的一個優化問題,然後設計GA-PSO算法來解決該問題並生成對抗性的實例,實現了針對不同類型對象檢測模型的一種新的黑盒攻擊。具體來說,我們首先使用原始樣本來生成一個圖像粒子羣。然後利用遺傳算法(GA-PSO),使圖像粒子羣在樣本流形中進行自主搜索,得到反例,成功地實現了對目標檢測模型的黑盒攻擊。
總之,我們的論文有以下貢獻:
· 針對目標檢測模型,提出了一種新的黑箱攻擊方法——蒸發攻擊。據我們所知,蒸發攻擊是針對不同類型對象檢測模型的第一個黑盒攻擊。該攻擊對基於迴歸的檢測模型和基於區域的檢測模型都有顯著的影響。利用蒸發攻擊,所有的目標都能逃脫目標探測器的探測。
· 將針對目標檢測模型的黑盒攻擊問題轉化爲優化問題,提出了一種不需要獲取梯度信息的黑盒攻擊方法。
· 我們設計了GA-PSO算法,通過在速度迭代公式中加入像素最優位置制導和隨機高斯噪聲,利用自適應速度迭代公式來解決攻擊黑箱目標檢測模型時的優化問題。
2 相關工作
2.1 目標檢測模型
· 近年來,深度學習模型逐漸取代傳統的機器視覺方法,成爲目標檢測領域的主流算法。目前主流算法主要分爲兩大類:基於迴歸的一階段法和基於建議的兩階段法。單階段方法通過單階段直接確定對象的類和位置,典型的模型有YOLO (Redmon et al., 2016)、SSD (Li and Zhou, 2017)、CornerNet (Law and DengCornernet, 2018)等。一階段法的核心思想是將整個圖像作爲網絡的輸入。網絡將圖像分割成多個區域,並直接在輸出層中返回邊界框及其標籤的位置。目前,最新的YOLOv3 (Redmon andFarhadi, 2018)版本在保持速度優勢的同時,進一步提高了檢測精度,特別是對小目標的檢測能力。兩階段方法將檢測分爲兩個階段:第一階段生成區域建議,第二階段對生成的區域建議進行分類並精確定位。典型的模型有R-CNN (Girshick et al., 2014)、Fast-R-CNN (Wang et al.,2017)、Fast-R-CNN (Ren et al., 2015)等。在兩階段方法中,選擇性搜索用於預先提取一系列更可能是對象的候選區域。然後使用CNN提取這些候選區域的特徵進行檢測。最新的Fast-R-CNN使用區域建議網絡代替選擇性搜索,整個網絡可以共享CNN提取的特徵信息,節省了計算成本,解決了Fast-R-CNN算法生成候選幀緩慢的問題。目標檢測模型是許多計算機視覺應用的核心組成部分。研究目標檢測模型的安全性具有重要的意義。在本文中,我們嘗試提出一種有效的攻擊方法,可以同時攻擊單階段和兩階段的黑箱目標檢測模型。
2.2 對分類模型的對抗攻擊
· 對抗性攻擊通過在原始圖像上添加精心設計的擾動來攻擊深度神經網絡,從而產生對抗性的實例。針對圖像分類模型提出了多種攻擊方法。Goodfellow等(2014)提出了一種最大最優範數約束擾動,稱爲快速梯度表示法(FGSM)。Brendel等(2017)提出了一種基於決策的黑盒攻擊,稱爲邊界攻擊。這些方法在分類模型上取得了很好的效果,但在目標檢測模型上的效果還遠遠不夠。
2.3 對檢測模型的對抗攻擊
· 最近,一些學者提出了一些針對目標檢測模型的攻擊。Xie等(2017)首先提出了一種基於優化的DAG方法來攻擊目標檢測模型,首先將對抗標籤分配到建議區域,然後通過優化生成對抗實例。Li等(2018)提出了R-AP方法,通過破壞區域建議網絡(RPN)來攻擊基於區域的目標檢測模型。DAG攻擊是一種白盒方法,R-AP攻擊是一種黑箱方法,兩者都使用基於優化的方法來攻擊基於區域的檢測模型。據我們所知,目前還沒有一種攻擊方法可以成功地攻擊不同類型的黑盒對象檢測模型。在本文中,我們嘗試提出一種既能攻擊迴歸模型又能攻擊區域模型的有效的黑盒攻擊方法。
Fig.1 給出了不同黑盒對象探測器上蒸發攻擊產生的反例。在第一列中,YOLOv3和Faster-R-CNN檢測到了原始圖像中的目標。第二列給出了反例的檢測結果,可以看出所有的對象都成功逃脫了檢測器的檢測。第三列顯示了對抗性示例中的擾動。
3 方法學
3.1 問題定義
· 對於樣本空間的一個原始圖像x,我們希望找到一個敵對的例子x去fool對象檢測模型D,同樣在樣本空間以及非常類似於x。對於真實的(Li,Pi)對象 i 在原始圖像x中,Li是分類標籤和Pi是對象 i 的位置。我們假設對象檢測模型D可以成功檢測對象在原始圖像x以及輸出檢測結果(Li,Pi)。同時同一對象的檢測結果 i 在對抗的例子x (li, pi)。當(li, pi)是空的,(li,pi)= (li,pi),這意味着對象 i 在對抗的例子x消失的檢測對象探測器D, D是成功攻擊的目標檢測模型。其中D可以是基於迴歸的檢測模型,也可以是基於區域的檢測模型。
· 通過求解無約束優化問題:Eqn(1),可以得到我們需要攻擊的反例x:
· d(ΔΔ)是距離度量,&(Δ)是敵對的標準,如果攻擊要求滿足−∞就置0,否則,我們用L2作爲距離d。通過優化1,我們可以得到一個敵對的例子x與最小的擾動。應該注意,因爲對象檢測模型的輸出D是離散的,我們需要根據不同的攻擊目標來指定敵對的標準&(Δ)。
3.2 蒸發的攻擊
· 面對黑盒對象檢測模型,我們無法訪問模型內部的任何信息。我們只能通過發送查詢得到模型的輸出。因此,我們使用了黑盒優化方法來最小化目標函數(1)。由於黑盒對象檢測模型的輸出函數是不連續的,離散的,我們不能直接用有限差分的梯度估計方法來近似目標函數的梯度。我們決定直接優化目標函數1。
· 在本文中,我們提出一個新的攻擊方法解決黑盒優化問題的攻擊對象檢測模型,稱爲蒸發攻擊(圖2)。蒸發攻擊生成幾個最初的敵對的例子和發送這些最初的敵對的例子與原始圖像到目標對象檢測模型來計算其輸出的區別(敵對的損失)。同時,我們計算了對抗樣本與原始圖像的差值(距離損失),並通過優化算法循環計算,不斷減少損失,得到最終的對抗樣本。我們的優化方法是基於PSO (Eberhart and Kennedy, 1995),這是一種高效的羣體智能算法。我們對算法的關鍵部分進行了重新設計,將改進後的算法稱爲GA-PSO表算法1。我們將一幅圖像看作是高維空間中的一個粒子,通過在原始圖像中加入隨機噪聲,生成初始圖像粒子羣,然後利用GA-PSO算法對圖像粒子羣進行不斷優化,找到對抗性的例子,完成對黑箱目標探測器的攻擊。我們希望對抗的例子我們生成和原始圖像是視覺上儘可能接近,所以我們將原始圖像設置爲最優像素位置,添加指導項基於最優像素位置的速度迭代公式來指導圖像粒子的運動。對粒子羣的路徑進行引導,使粒子羣在每個運動過程中都更接近最優像素位置,保證粒子羣的有效運動,減少對黑箱模型的查詢次數。標準PSO算法存在很大的缺陷,在優化過程中容易陷入局部最優。因此,我們在速度迭代公式中加入隨機高斯噪聲,以避免圖像粒子陷入局部最優而導致攻擊失敗。爲了達到有效的攻擊,我們還針對不同的攻擊階段設計了不同的速度迭代公式。在攻擊初始階段,圖像粒子運動較快,粒子與原始圖像的距離迅速減小(見圖3)。
· 當粒子羣的平均得分小於閾值時,攻擊跳躍到一個新的階段,開始使用自適應速度迭代公式降低圖像粒子的整體移動速度,進行穩定搜索。算法3.2詳細描述了蒸發攻擊的總體流程。
· 我們將在下面幾節中詳細解釋算法的關鍵部分。
3.3 粒子羣初始化
· 在攻擊的過程中,有必要生成圖像粒子滿足敵對的標準&(Δ)開始。如果初始粒子x ’ i不滿足對抗性判據,那麼L(x ’ i)等於正無窮,在後續的攻擊中,要使這個粒子成爲對抗性的例子將是一個挑戰,而L(x ’ i)將保持在正無窮。因此,我們通過在原始圖像中加入大量的噪聲來初始化原始圖像中遠離原始圖像的初始圖像粒子羣,保證有噪聲的圖像粒子都滿足對抗性準則,使得我們後續的攻擊更加容易。圖像粒子x的初始化公式爲Eqn(2)。
· 其中xi爲粒子i, x爲原始圖像,z爲隨機產生的高斯噪聲,@爲限制噪聲的超參數。
3.4 適應度函數
· 圖像粒子的適應度反映了粒子當前狀態的優劣,因此適應度函數應該能夠準確地評估圖像粒子的當前狀態。根據攻擊的目標函數,在滿足對抗準則的前提下,圖像粒子與原始圖像的L2距離越小,粒子的適應度越大。因此,我們根據攻擊的目標函數設計適應度函數爲Eqn (3)
· 其中@爲平衡兩項的分數的權重,分數表示圖像粒子 i 的目標模型檢測結果是否滿足對抗性準則。如果結果滿足對抗性條件,則得分爲k;否則,設得分爲0。通過設置分兩個不同的值根據敵對的標準是否滿意與否,並確保有兩個值之間的巨大差異,我們避免一些圖像顆粒小的距離原始圖像,但不滿足敵對的準則得到高適應性,進一步的錯誤指導其他粒子的移動方向,導致失敗的攻擊。在我們的攻擊中,@設置爲1,k設置爲50,這是在訓練集中調整的。
3.5 速度迭代
· 在標準粒子羣算法中,速度迭代公式只包含粒子本身的慣性E、粒子個體的最優值Pbest(Personal Best)和整個粒子羣的最優值Gbest(Global4 Best)。我們希望我們生成的反例與原始圖像儘可能的相似,所以我們在速度迭代公式中加入了最佳像素位置Ubest(Ultimate Best)來引導粒子更接近原始圖像。在我們的攻擊中,Ubestis設置爲與原始圖像對應的向量。標準粒子羣優化算法有一個明顯的缺點;也就是說,很容易陷入局部最優。因此,我們在速度迭代公式中加入高斯噪聲,以避免由於圖像粒子落入局部最優而導致攻擊失敗。
· 在攻擊過程中,我們將圖像粒子羣的運動過程分爲快速迭代階段和穩定迭代階段,利用不同階段的速度迭代公式來實現有效的攻擊。
· 攻擊的第一階段是快速迭代階段。圖像粒子每移動一次,就會得到原圖像的一個巨大投影,從而導致粒子與原圖像之間的距離迅速下降。在這一階段,粒子羣可以在保持較高的平均分的同時,快速縮小與原始圖像的距離。如果粒子羣的平均得分在連續n小於閾值迭代,這意味着粒子羣已經抵達附近的原始圖像,快速迭代階段停止,和粒子羣回滾到n次迭代前的狀態,然後開始穩定的搜索。下面的實驗部分將詳細描述n的值設置。快速迭代階段的速度迭代公式爲Eqn(4)。
· 其中z爲隨機產生的高斯噪聲;u1爲慣性權重;u2是認知學習因子;u3是社會學習因素;u4爲原始圖像投影的權值;U5是高斯噪聲權值。
· 攻擊的第二階段是慢迭代階段,此時粒子羣已經足夠接近原始圖像,因此移動速度應該減慢。
· 我們將包含Pbest的項從速度迭代公式中去除,因爲所有的粒子都已經在原始圖像周圍,使用單獨的最優值來更新速度會導致無效的往返運動。另外,圖像的粒子越接近原始圖像,需要添加的原始圖像的投影越小,使得粒子可以穩定的向前移動。在這一階段,我們使用速度迭代公式,該公式與粒子迭代次數相適應,如下Eqn(5)所示。
· 隨着粒子迭代次數的增加,公式中所有的權值都減小了。
Flg.3 蒸發攻擊的例子。我們的目標是生成一個儘可能接近原始圖像(在L2-metric中)而不檢測任何對象(正確檢測原始圖像)的圖像。對於每個圖像,我們報告查詢的次數和對抗性圖像與原始圖像之間的平均平方誤差。
4 實驗
4.1 實驗裝備
4.1.1 目標模型
我們分析了一系列主流的對象檢測模型,如YOLOv3、SSD和Faster R-CNN。最後,我們選取了兩個具有代表性的模型作爲目標模型,分別是基於迴歸的YOLOv3模型和基於區域的Faster R-CNN模型。我們使用YOLOv3預訓練MS COCO 2017數據集和更快的R-CNN預訓練PASCAL VOC 2007和PASCAL VOC 2012數據集作爲我們攻擊的黑箱目標模型。在攻擊期間,只查詢模型,而不訪問模型內部的任何信息。
4.1.2 數據集
· 我們隨機選取MS COCO 2017測試集的50張圖片和PASCAL VOC 2007測試集的50張圖片作爲原始圖片,用於在YOLOv3和更快的R-CNN上生成對抗性的例子。MS COCO 2017數據集是一個天文目標檢測,分割數據集,包括91個類別的對象,32.8萬張圖像,和250萬個標籤。PASCAL VOC 2007是一個優秀的圖像識別和分類數據集。整個數據集包括20個對象類別、9963個圖像和24,640個對象。
4.1.3 評價標準
· 我們使用欺騙率(FR)、假陰性增加(FNI)和均方誤差(MSE)來衡量蒸發攻擊的性能。欺騙率表示在黑盒設置下攻擊成功的概率(與攻擊成功率相同),在有限的查詢數量內獲得對抗性的實例即爲成功。假陰性增加定義爲假陰性檢測盒增加到陽性檢測盒數量的比率,定義爲Eqn (6):
· ΔN是假陰性檢測盒數量在對抗的例子中的增量,Norg是在原始圖像中檢測盒的數量。我們在分母上加1,以避免在原始圖像中沒有陽性檢測框時定義錯誤。假陰性增長測量隱藏對象的比例,當沒有隱藏目標時,FNI等於0。使用均方誤差來衡量對抗性樣本與原始圖像之間的相似性:MSE越小,兩幅圖像越相似。
4.1.4 比較方法
· 邊界攻擊是針對黑盒分類模型的一種最先進的基於查詢的攻擊,我們對其進行了一些設置,使其能夠攻擊目標檢測模型。在實驗中,我們發現正交步長不斷增加,直到最終落入局部最優,攻擊失敗。爲了避免這種情況,我們將正交步長s限制在0.001到0.1之間,保證了搜索的有效性和高效率。此外,我們還修改了決策函數,使目標滿足我們設定的對抗性條件。
4.1.5 實施細節
· 我們用4個RTX 2080ti gpu和128G內存完成了實驗。我們將參數設置爲:粒子數量設置爲3,輪的數量快速迭代階段結束時回滾15日查詢的最大數量是100000,最高L2敵對的例子是25,慣性權重U1的初始值爲0.175,U2的認知學習因素的初始值是0.42,U3社會學習因素的初始值爲1.4,原始圖像投影U4的重量是0.004,和初始值的高斯噪聲U5重量是0.0035。下面將詳細討論快速迭代階段結束時的粒子數和回滾的輪數的設置。
Fig.4 不同粒徑粒子的攻擊過程(左)和不同回滾次數(右)。在這裏,我們使用L2距離來衡量對抗性的例子和原始圖像之間的相似性。
4.2 參數解析
4.2.1 粒子規模
· 粒子羣的大小對攻擊過程有重要影響。少量粒子會導致攻擊效率下降;太多的粒子會導致攻擊過程變慢。因此,我們在YOLOv3上進行了實驗,研究了在不同粒子數的情況下,隨着查詢次數的增加,對抗實例與原圖片的平均L2距離的減小。設置粒子數爲5、10、15、20、30(圖4),隨着查詢次數的增加,L2距離逐漸減小。在查詢次數相同的情況下,隨着粒子數量的減少,樣本與原始圖像之間的距離變小,最好的情況是粒子數量爲3。
4.2.2 回滾輪
· 快速迭代階段結束時回滾的輪數也會影響後續的攻擊過程。如果粒子數過小,當進入慢迭代階段時,粒子的平均分數就會不夠高,後續的攻擊效率就會降低。當進入慢迭代階段時,過多的輪數會導致粒子與原始圖像的距離過大,後續的攻擊過程也會變慢。我們在YOLOv3上進行了實驗,研究了在不同輪數回滾的情況下,隨着查詢次數的增加,對抗實例與原始圖像之間的平均L2distance的減小。我們將查詢個數設置爲5、10、15、20、30、40和50(圖4)。隨着查詢次數的增加,L2distance逐漸減小。最終,反例與原始圖像之間的距離將達到一個固定的級別,但是過多的回滾將增加查詢的數量,從而達到該級別。
4.3 實驗結果
· 在本節中,我們報告攻擊實驗的結果。我們使用不同的攻擊方法來攻擊兩種類型的對象檢測模型,YOLOv3和Fast R-CNN。對於不同數量的查詢,我們報告了樣本的L2平均距離(圖5)。從圖中可以看出,我們的方法在兩個對象檢測模型上都比邊界攻擊更有效,只需要約30000個查詢就可以使L2處於較低水平。對於Fast R-CNN,其邊界攻擊的l2仍然較大,這說明該方法在R-CNN上並不理想
· 表1給出了我們實驗的具體結果。可以看出,與邊界攻擊相比,我們的方法可以更好的愚弄YOLOv3和更快的R-CNN,愚弄率分別提高了36%和44%。高假陰性增長表明,這兩種攻擊都可以使幾乎所有的目標從目標檢測器的檢測中消失,但是我們的方法更好。我們生成的所有反例的平均MSE都保持在一個較低的水平,這證明了擾動的大小是很小的。與YOLOv3相比,這兩種攻擊方法對更快的R-CNN具有更低的欺騙率;我們認爲這是因爲區域提案網絡具有說服力,所以不容易被愚弄。同時,我們的方法平均查詢次數不到35,000次,證明了攻擊效率是非常高的。雖然邊界攻擊可以通過少量的查詢成功地攻擊速度更快的R-CNN,但是欺騙率很低。
所需要的查詢數的分佈產生對抗的例子可以看到從分佈圖(圖6)。兩個攻擊YOLOv3模型中,我們可以看到,蒸發的直方圖攻擊大於邊界襲擊,這證明了我們的方法有更高的成功率。準確地說,我們的方法獲得了84%的成功率,而邊界攻擊的成功率爲62%。同時,從直方圖的分佈可以看出蒸發攻擊所需查詢的數量相對集中,對邊界襲擊和查詢的數量非常離散,這證明了我們的方法是穩定的和可靠的與邊界襲擊。同樣,對於在更快的R-CNN模型上執行的兩種攻擊,我們的方法也具有更高的成功率和更穩定的性能。
4.4 消融研究(Ablation study)
` 該方法由GA-PSO算法和高斯噪聲兩部分組成。爲了驗證GA-PSO算法的有效性,我們進行了消融研究。我們在原始圖像中加入與蒸發攻擊大小相同的高斯噪聲作爲高斯噪聲攻擊。對抗性樣本的欺騙率和FNI均爲0,說明目標檢測模型的檢測結果不受高斯噪聲的影響。具體結果見表1。
5 結論
· 在本文中,我們提出了一種針對目標檢測模型的新型黑盒攻擊——蒸發攻擊。針對僅利用位置信息和標籤信息攻擊黑箱目標探測器的問題,設計了一種基於優化的攻擊算法GA-PSO。我們的攻擊在基於迴歸和基於區域的對象檢測模型上都是有效的。我們綜合評估了幾種最先進的目標檢測模型在有限的黑盒攻擊場景下的魯棒性。實驗證明,我們的方法是目前最先進的黑盒攻擊方法的前沿。蒸發攻擊暴露了目標檢測模型的脆弱性,會導致大量的安全問題。必須承認,我們的攻擊方法並不完美;但仍有不足和改進之處。我們的攻擊使用模型的輸出信息,因此如果模型所有者對模型的輸出進行一些處理(例如只給對象標籤),我們的攻擊可能會受到影響。在當前的攻擊模式下,我們的目標是隱藏樣本中的所有對象。在未來的工作中,我們想要改進我們的攻擊方法,使我們的攻擊能夠準確的針對特定的對象,使我們的攻擊更加隱蔽,更加有價值。目前,對象檢測模型已廣泛應用於各種物聯網設備和場景中,但對其安全性的研究還不夠深入。研究對象檢測模型的對抗性攻擊有助於理解對象檢測模型,提前規避可能存在的風險。同時,如何保護目標檢測模型不受攻擊也是一個可能的研究方向。
競爭利益聲明
· 我們聲明我們沒有金融和個人關係與他人或組織不當會影響我們的工作,沒有專業的或其他任何性質的個人利益或在任何產品,服務和/或公司可能被視爲影響的位置,或審查,手稿資格。