本文提出一种新型物理攻击方式——对抗相机贴纸,通过对摄像头镜头施加精心设计的半透明贴纸,对深度学习系统造成普遍干扰,使目标对象被误分类。该方法不改变目标物体,具有不可见性和鲁棒性,适用于多角度和多尺度图像,展示了在真实世界视频数据中的攻击效果。
准备写一个论文学习专栏,先以对抗样本相关为主,后期可能会涉及到目标检测相关领域。
内容不是纯翻译,包括自己的一些注解和总结,论文的结构、组织及相关描述,以及一些英语句子和相关工作的摘抄(可以用于相关领域论文的写作及扩展)。
平时只是阅读论文,有很多知识意识不到,当你真正去着手写的时候,发现写完之后可能只有自己明白做了个啥。包括从组织、结构、描述上等等很多方面都具有很多问题。另一个是对于专业术语、修饰、语言等相关的使用,也有很多需要注意和借鉴的地方。
本专栏希望在学习总结论文核心方法、思想的同时,期望也可以学习和掌握到更多论文本身上的内容,不论是为自己还有大家,尽可能提供更多可以学习的东西。
当然,对于只是关心论文核心思想、方法的,可以只关注摘要、方法及加粗部分内容,或者留言共同学习。
————————————————
**
Adversarial camera stickers: A physical camera-based attack on deep learning systems
**
JunchengB.Li12 FrankR.Schmidt1 J.ZicoKolter12
1Bosch Center for Artificial Intelligence
2School of Computer Science, Carnegie Mellon University, Pittsburgh, USA.
billy.li@us.bosch.com,frank.r.schmidt@de.bosch.com,zico.kolter@us.bosch.com
发表于ICML2019
对抗的相机贴纸:基于物理摄像头的深度学习系统攻击
Abstract
Recent work has documented the susceptibility of deep learning systems to adversarial examples, but most such attacks directly manipulate the digital input to a classifier.
之前的物理攻击都是将对抗贴纸直接贴在感兴趣的物体上或者是直接创建对抗物体。
通过在相机镜头上放置一个精心制作的半透明贴纸,可以对人们所有观察到的图像产生普遍的干扰,且这些干扰并不明显,但却将目标对象错误地归类为不同的(目标)类。
提出了一个迭代过程,同时保证,扰动的攻击性及扰动对于摄像头的可见性。
展示了一种新的攻击方式。
1.Introduction
In the majority of the cases studied, however, these attacks are considered in a“purely digital”domain,
A smaller but still substantial line of work has emerged to show that these attacks can also transfer to the physical world:
In all these cases, though, the primary mode of attack has been manipulating the object of interest, often with very visually apparent perturbations. Compared to attacks in the digital space, physical attacks have not been explored to its full extent: we still lack base lines and feasible threat models that work robustly in reality. (引言部分的转引)
我们使用视觉上不明显的修改将特定类的所有对象错误分类,创建了具有对抗的相机贴纸。
贴纸包含精心构造的圆点图案,如下图,犹如大部分不可感知的污点,对人而言不明显。
难点:不像过去的攻击是在图像的像素级粒
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
