基于贝叶斯优化的瞬间激光对抗攻击方法研究

深度神经网络拥有出色的特征提取能力,这使它们能够从人类难以察觉和理解的样本中提取和学习特征.这种能力一直是深度神经网络快速发展和广泛部署的推动力,近年来它们在医疗成像、自动驾驶、遥感观测和人脸识别等多个领域都有出色表现.然而,这种强大的特征提取能力也带来了一些潜在的安全风险.研究人员发现,深度神经网络模型很容易受到对抗样本的影响,即使少量精心设计的扰动也会导致模型产生错误的结果.为了探索深度神经网络的安全威胁和模型的鲁棒性,对抗攻击研究成为一项重要工作.在这项研究中,本文提出了一种基于贝叶斯优化的瞬间激光物理对抗攻击方法,利用有效曝光时间和激光的快速性在合适的时机发起真正不引起人眼察觉的瞬间攻击,检验了激光对抗攻击在数字域和物理域的有效性,并探讨了这种攻击方法在自动驾驶场景下可能产生的威胁.此外,在物理实验中验证了瞬间攻击的存在性并对其进行了分析,验证了针对自动驾驶系统的激光攻击存在合适的攻击窗口.

对抗彩色贴片:一种针对DNNs的对抗攻击手段

深度神经网络(deep neural networks,DNNs)在图像分类、分割、物体检测等计算机视觉应用方面表现出了先进的性能.然而,最近的研究进展表明,DNNs很容易受到输入数据的人工数字扰动(即对抗性攻击)的干扰.深度神经网络的分类准确率受到其训练数据集的数据分布的显著影响,而输入图像的颜色空间受到扭曲或扰动会产生分布不均匀的数据,这使深度神经网络更容易对它们进行错误分类.提出了一种简单且高效的攻击手段——对抗彩色贴片(AdvCS),利用粒子群优化算法优化彩色贴片的物理参数,实现物理环境下的有效攻击.首先,提出了一个图片背景颜色变化的数据集,通过在ImageNet的一个子集上用27个不同的组合改变他们的RGB通道颜色,研究颜色变化对DNNs性能的影响.在提出的数据集上对几种最先进的DNNs架构进行了实验,结果显示颜色变化和分类准确率损失之间存在显著相关性.此外,基于ResNet-50架构,在提出的数据集上演示了最近提出的鲁棒训练技术和策略(如Augmix、Re-visiting、Normalizer Free)的一些性能实验.实验结果表明,这些鲁棒训练技术可以提高深度神经网络对颜色变化的鲁棒性.然后,使用彩色半透明贴片作为物理扰动,利用粒子群优化算法优化其物理参数,将其置于摄像头上执行物理攻击,实验结果验证了提出的方法的有效性.