14、自动驾驶车辆系统的对抗攻击与防御策略

自动驾驶车辆系统的对抗攻击与防御策略

1. 对抗攻击类型

1.1 决策边界攻击

决策边界攻击通过拒绝采样进行随机游走，使生成的对抗样本留在对抗区域，同时与原始图像足够接近，从而在外观上与原始图像相同，但分类结果不同。这种攻击方法利用拒绝采样减少了对模型的查询次数。例如，HopSkipJump 攻击使用二分查找获取决策边界，然后通过蒙特卡罗搜索估计梯度，实现了一种高效的黑盒攻击，减少了对模型的查询。具体步骤如下：
1. 在原始图像和初始对抗样本之间进行二分查找，获得决策边界 $x_0$。
2. 使用蒙特卡罗估计获得决策边界的梯度，并在梯度方向上生成新样本 $\hat{x}_1$。
3. 再次使用二分查找获得新的决策边界 $x_1$。

1.2 补丁攻击

1.2.1 通用对抗补丁攻击

之前讨论的攻击通常覆盖整个图像，而补丁攻击只改变输入的一小部分，虽然对人类观察者可见，但仍能使分类器产生错误分类。例如，Brown 等人提出的对抗补丁方法生成的补丁对变换具有不变性，可以打印并应用于现实世界的照片和物体上。通过求解以下优化问题获得对抗补丁 $\hat{p}$：
$\hat{p} = \arg \max_{p} E_{x\sim X,t\sim T,l\sim L}[\log P(y|A(p, x, l, t))]$
其中，$X$ 是训练图像集，$T$ 是变换集，$L$ 是补丁可应用的位置集。这种方法生成的补丁可以普遍应用于任何图像的任何位置，并且对常见变换（如旋转和缩放）具有鲁棒性。

1.2.2 局部可见对抗噪声（LaVAN）攻击

Karmon