【導(dǎo)語(yǔ)】本文介紹了一個(gè)可以生成欺騙性補(bǔ)丁的系統(tǒng)模型，通過(guò)將該補(bǔ)丁放置在固定位置，人們能夠使自己在行人檢測(cè)器中獲得“隱身”的效果。作者對(duì)比了三個(gè)不同的生成補(bǔ)丁的方法，并在實(shí)際場(chǎng)景中進(jìn)行了評(píng)估，發(fā)現(xiàn)基于最小化目標(biāo)分?jǐn)?shù)的方法產(chǎn)生的補(bǔ)丁表現(xiàn)最優(yōu)。

在過(guò)去幾年中，機(jī)器學(xué)習(xí)中的對(duì)抗攻擊方向吸引了越來(lái)越多的研究者。僅需要對(duì)卷積神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行細(xì)微的改變，模型就會(huì)被擾動(dòng)，然后輸出完全不同的結(jié)果。一種攻擊方式是通過(guò)輕微改變輸入圖像的像素值來(lái)欺騙分類(lèi)器，使其輸出錯(cuò)誤的類(lèi)。其他的方法則是試圖學(xué)習(xí)一個(gè)“補(bǔ)丁” (patches)，這個(gè)補(bǔ)丁可以應(yīng)用于某個(gè)對(duì)象去欺騙檢測(cè)器和分類(lèi)器。其中的一些方法的確成功地欺騙了分類(lèi)器和檢測(cè)器，這種欺騙性攻擊在現(xiàn)實(shí)生活中也是可行的。但是，現(xiàn)有方法都是針對(duì)幾乎沒(méi)有類(lèi)內(nèi)變化的目標(biāo)（例如停止標(biāo)志）。對(duì)于此類(lèi)目標(biāo)，常用的方法為使用對(duì)象的已知結(jié)構(gòu)在其上生成一個(gè)對(duì)抗性補(bǔ)丁。

在本文中，作者提出了一種方法，它可以針對(duì)具有許多類(lèi)內(nèi)變化的目標(biāo)生成對(duì)抗補(bǔ)丁，比如人。本文的目標(biāo)是生成能夠成功地將行人隱藏在行人檢測(cè)器中的補(bǔ)丁。例如，入侵者可以通過(guò)在他們的身體前方拿著一塊小紙板，繞過(guò)監(jiān)視系統(tǒng)。

從本文的實(shí)驗(yàn)結(jié)果可以看到，該系統(tǒng)能夠顯著降低行人檢測(cè)器的準(zhǔn)確性。當(dāng)使用攝像頭時(shí)，其方法在現(xiàn)實(shí)生活場(chǎng)景中也能很好地運(yùn)行。該文章是第一篇對(duì)類(lèi)內(nèi)變化較多的目標(biāo)進(jìn)行攻擊的研究。

圖1：論文算法創(chuàng)建的一個(gè)能夠成功躲避行人檢測(cè)器的對(duì)抗補(bǔ)丁。 左：成功檢測(cè)到?jīng)]有補(bǔ)丁的人。 右：持有補(bǔ)丁的人未被檢測(cè)到。

卷積神經(jīng)網(wǎng)絡(luò)（CNNs）的興起在計(jì)算機(jī)視覺(jué)領(lǐng)域取得了巨大成功。 CNN在圖像數(shù)據(jù)中進(jìn)行端到端的學(xué)習(xí)在各種計(jì)算機(jī)視覺(jué)任務(wù)中都獲得最佳結(jié)果。由于這些網(wǎng)絡(luò)結(jié)構(gòu)的深度，神經(jīng)網(wǎng)絡(luò)能夠從網(wǎng)絡(luò)底部（數(shù)據(jù)進(jìn)入的地方）學(xué)習(xí)到非常基本的過(guò)濾器特征，并在網(wǎng)絡(luò)頂部學(xué)習(xí)出非常抽象的高級(jí)特征。典型的CNN結(jié)構(gòu)往往包含數(shù)百萬(wàn)個(gè)學(xué)習(xí)參數(shù)。雖然這種方法可以得到非常精確的模型，但模型的可解釋性卻大大降低。人們很難準(zhǔn)確理解網(wǎng)絡(luò)將人的圖像分類(lèi)為人的原因。通過(guò)對(duì)很多人類(lèi)圖像的學(xué)習(xí)，神經(jīng)網(wǎng)絡(luò)能夠了解了一個(gè)人看起來(lái)是什么樣子的。我們可以通過(guò)比較模型的輸出與人類(lèi)注釋的圖像，來(lái)評(píng)估模型對(duì)行人檢測(cè)的效果。然而，以這種方式評(píng)估模型僅告訴我們檢測(cè)器在某個(gè)測(cè)試集上的執(zhí)行情況。并且，測(cè)試集通常不包含誘導(dǎo)模型進(jìn)行錯(cuò)誤判斷的樣例，也不包含專(zhuān)門(mén)欺騙模型的樣例。對(duì)于不太可能發(fā)生攻擊的應(yīng)用程序（例如老年人的跌倒檢測(cè)），這個(gè)問(wèn)題無(wú)可厚非，但在安全系統(tǒng)中可能會(huì)帶來(lái)問(wèn)題。安全系統(tǒng)的人員檢測(cè)模型中的漏洞可能被用于繞過(guò)建筑物中的監(jiān)視攝像機(jī)。

該文章對(duì)人類(lèi)檢測(cè)系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)進(jìn)行了探討。作者創(chuàng)造了一個(gè)小的（40厘米×40厘米）對(duì)抗性補(bǔ)丁（adverserial patch），用于使人躲過(guò)目標(biāo)檢測(cè)器的檢測(cè)。演示如圖1所示。

工作簡(jiǎn)述

已有的基于CNN的對(duì)抗攻擊主要針對(duì)分類(lèi)任務(wù)、面部識(shí)別和物體探測(cè)。對(duì)于分類(lèi)任務(wù)的攻擊，Szegedy等人的研究較為成功，他們通過(guò)給圖像進(jìn)行輕微的像素調(diào)整，使得模型將圖像歸為錯(cuò)誤的分類(lèi)，而這種像素調(diào)整對(duì)于人眼來(lái)說(shuō)是無(wú)法分辨的。在關(guān)于面部識(shí)別攻擊的研究中，Sharif等人使用印刷的眼鏡圖像騙過(guò)了人臉識(shí)別系統(tǒng)。

現(xiàn)有的物體檢測(cè)模型主要包括FCN和Faster-RCNN兩種，一些研究嘗試對(duì)上述兩種模型進(jìn)行欺騙和攻擊。Chen等人利用交通標(biāo)志中的停止標(biāo)志，嘗試對(duì)Faster-RCNN這一物體探測(cè)模型進(jìn)行欺騙，并獲得了成功。但是，已有的工作主要是針對(duì)沒(méi)有類(lèi)內(nèi)變化的目標(biāo)。對(duì)適用于類(lèi)間變化大的類(lèi)的目標(biāo)攻擊方法的探討是較少的。

在現(xiàn)有的攻擊算法中，主要包括白盒攻擊和黑盒攻擊兩種。其中，使用黑盒攻擊的攻擊者不了解模型的具體參數(shù)和算法，僅通過(guò)觀察模型的輸入和輸出進(jìn)行攻擊。而白盒攻擊的攻擊者對(duì)模型結(jié)構(gòu)、參數(shù)都較為了解，可以直接對(duì)模型進(jìn)行針對(duì)性的攻擊。無(wú)論是黑盒攻擊還是白盒攻擊，都可以用于生成針對(duì)模型的對(duì)抗性樣本，使得樣本對(duì)模型具有欺騙性。

方法

這項(xiàng)工作的目標(biāo)是創(chuàng)建一個(gè)能夠生成可打印的對(duì)抗補(bǔ)丁的系統(tǒng)，該補(bǔ)丁可用于欺騙行人檢測(cè)器。已有研究表明，對(duì)現(xiàn)實(shí)世界中的物體探測(cè)器進(jìn)行對(duì)抗性攻擊是可能的。在這項(xiàng)工作中，作者專(zhuān)注于為人生成對(duì)抗性補(bǔ)丁。 本文通過(guò)圖像像素的優(yōu)化過(guò)程，嘗試在大型數(shù)據(jù)集上找到能夠有效降低行人檢測(cè)的準(zhǔn)確率的補(bǔ)丁。在下面的部分中，作者深入解釋了生成這些對(duì)抗補(bǔ)丁的過(guò)程。

優(yōu)化目標(biāo)主要包含三部分：

不可打印性得分公式，這個(gè)表示補(bǔ)丁中的顏色可以進(jìn)行普通打印的程度

圖像的總變化度，該函數(shù)確保優(yōu)化器支持顏色過(guò)渡更加平緩的圖像，并能防止噪聲圖像。如果相鄰像素值的顏色相似，該分?jǐn)?shù)就低，相鄰像素值的顏色差異大，該分?jǐn)?shù)就高。

Lobj是圖像中的最大目標(biāo)分?jǐn)?shù)。該補(bǔ)丁的目標(biāo)是隱藏圖像中的人，因此，模型的訓(xùn)練目標(biāo)是最小化檢測(cè)器輸出的物體或類(lèi)別分?jǐn)?shù)。

總損失函數(shù)由上面三部分內(nèi)容構(gòu)成。在計(jì)算時(shí)引入了縮放因子alpha和beta。模式使用的優(yōu)化算法為Adam優(yōu)化。針對(duì)Lobj的計(jì)算，可以參考圖2.

圖2：獲取目標(biāo)損失的概述

最小化檢測(cè)器的輸出概率

為了讓檢測(cè)器不能檢測(cè)出人，作者嘗試了三種不同的方法：一是僅最小化人這一類(lèi)別的分類(lèi)概率，二是僅最小化目標(biāo)分?jǐn)?shù)，三是結(jié)合著兩者同時(shí)進(jìn)行。通過(guò)第一種方法學(xué)到的補(bǔ)丁在視覺(jué)上類(lèi)似于泰迪熊，由于補(bǔ)丁使得人類(lèi)圖像看起來(lái)類(lèi)似于另一分類(lèi)，其結(jié)果很難遷移到不包含該分類(lèi)的模型中。另一種最小化目標(biāo)分?jǐn)?shù)的方法則不存在這種問(wèn)題。

訓(xùn)練數(shù)據(jù)

與之前為交通標(biāo)志生成對(duì)抗補(bǔ)丁的研究相比，為人創(chuàng)建對(duì)抗補(bǔ)丁更有挑戰(zhàn)性：

人的外表變化很大：衣服，膚色，身材，姿勢(shì)......與始終具有相同八角形狀且通常是紅色的停車(chē)標(biāo)志不同。

人可以出現(xiàn)在許多不同的背景中。 而停車(chē)標(biāo)志大多出現(xiàn)在街道一側(cè)的相同環(huán)境中。

當(dāng)人是朝向或者背對(duì)攝像頭時(shí)，人的外觀會(huì)有所不同。

在人身上放置補(bǔ)丁沒(méi)有一致的位置。而在停止標(biāo)志上，可以很容易地計(jì)算出補(bǔ)丁的確切位置。

為應(yīng)對(duì)上述挑戰(zhàn)，作者沒(méi)有像已有研究那樣人工修改目標(biāo)對(duì)象的單個(gè)圖像并進(jìn)行不同的變換，二是使用了很多人的真實(shí)圖像進(jìn)行訓(xùn)練。在模型的訓(xùn)練中，具體步驟如下：首先在圖像數(shù)據(jù)集上運(yùn)行目標(biāo)人物檢測(cè)器。探測(cè)器會(huì)根據(jù)人在圖像中出現(xiàn)的位置顯示人的邊界框。然后，作者將經(jīng)過(guò)多種變換的補(bǔ)丁應(yīng)用于圖像中，補(bǔ)丁與邊界狂的相對(duì)位置是固定不變的。之后，作者將得到的圖像與其他圖像一起批量送入檢測(cè)器，并基于仍然被檢測(cè)到人的圖像計(jì)算損失函數(shù)。最后，在整個(gè)模型中進(jìn)行反向傳播，使用優(yōu)化器進(jìn)一步更改補(bǔ)丁中的像素，以便能更好的欺騙檢測(cè)器。

上述方法的一個(gè)優(yōu)勢(shì)為，模型可使用的數(shù)據(jù)集不僅限于已標(biāo)注的數(shù)據(jù)集。目標(biāo)檢測(cè)器可以對(duì)任何視頻或圖像集合生成邊界框，這使得系統(tǒng)可以進(jìn)行更有針對(duì)性的攻擊。當(dāng)模型從定位的環(huán)境中獲得數(shù)據(jù)時(shí)，可以簡(jiǎn)單地使用該素材生成特定于該場(chǎng)景的補(bǔ)丁。

模型的測(cè)試使用了Inria 數(shù)據(jù)集的圖像。這些圖像主要是行人的全身圖像，更適用于監(jiān)控?cái)z像頭的應(yīng)用。另外，MS COCO 和Pascal VOC 也是兩個(gè)關(guān)于行人的數(shù)據(jù)集，但它們包含太多種類(lèi)的人（例如一只手被注釋為人），很難固定補(bǔ)丁的放置位置，因此沒(méi)有使用。

使補(bǔ)丁具有更高的魯棒性

本文的目標(biāo)是針對(duì)必須在現(xiàn)實(shí)世界中使用的補(bǔ)丁。這意味著首先需要將這些布丁打印出來(lái)，然后由攝像機(jī)對(duì)其進(jìn)行拍攝。在進(jìn)行上述處理時(shí)，很多因素都會(huì)影響補(bǔ)丁的外觀：光線(xiàn)可能會(huì)發(fā)生變化，補(bǔ)丁可能會(huì)稍微旋轉(zhuǎn)，補(bǔ)丁相對(duì)于人的大小會(huì)發(fā)生變化，相機(jī)可能會(huì)稍微增加噪點(diǎn)或模糊補(bǔ)丁，視角可能不同......為了盡可能地考慮這一點(diǎn)，在將補(bǔ)丁應(yīng)用到圖像之前，作者對(duì)補(bǔ)丁進(jìn)行一些轉(zhuǎn)換。作者主要進(jìn)行了以下隨機(jī)轉(zhuǎn)換，用于數(shù)據(jù)增強(qiáng)：

將補(bǔ)丁單向旋轉(zhuǎn)20度

隨機(jī)放大和縮小補(bǔ)丁

在補(bǔ)丁上添加隨機(jī)噪聲

隨機(jī)改變補(bǔ)丁的亮度和對(duì)比度

需要強(qiáng)調(diào)的是，在對(duì)補(bǔ)丁進(jìn)行隨機(jī)更改的過(guò)程中，必須保證可以上述操作進(jìn)行反向傳播。

實(shí)驗(yàn)結(jié)果

在本節(jié)中，作者對(duì)補(bǔ)丁的有效性進(jìn)行了評(píng)估。評(píng)估使用的數(shù)據(jù)集是Inria數(shù)據(jù)集的測(cè)試集，對(duì)補(bǔ)丁的評(píng)估過(guò)程與訓(xùn)練過(guò)程相同，并且包含了對(duì)補(bǔ)丁的隨機(jī)轉(zhuǎn)換。在實(shí)驗(yàn)中，作者試圖使一些有可能把人隱藏起來(lái)的參數(shù)達(dá)到其最小值。作為對(duì)照，作者還將結(jié)果與包含隨機(jī)噪聲的補(bǔ)丁進(jìn)行了比較，該補(bǔ)丁的評(píng)估方式與隨機(jī)補(bǔ)丁的評(píng)估完全相同。圖3顯示了不同補(bǔ)丁的結(jié)果。 OBJ-CLS的目標(biāo)是最小化目標(biāo)得分和類(lèi)得分的乘積，在OBJ中僅最小化目標(biāo)得分，在CLS中僅最小化類(lèi)得分。NOISE是用于對(duì)比的包含隨機(jī)噪聲的補(bǔ)丁，CLEAN是沒(méi)有應(yīng)用補(bǔ)丁的試驗(yàn)基線(xiàn)。 從這條PR曲線(xiàn)，我們可以清楚地看到生成的補(bǔ)丁（OBJ-CLS，OBJ和CLS）與隨機(jī)生成的補(bǔ)丁的效果對(duì)比。我們還可以看到，與使用類(lèi)分?jǐn)?shù)相比，最小化目標(biāo)分?jǐn)?shù)（OBJ）帶來(lái)的影響最大（即具有最低的平均準(zhǔn)確度（AP））。

圖3：與隨機(jī)噪聲補(bǔ)丁（NOISE）和原始圖像（CLEAN）相比，不同方法下（OBJ-CLS，OBJ和CLS）的PR曲線(xiàn)。

作者對(duì)于在現(xiàn)實(shí)情況中補(bǔ)丁的的效果也進(jìn)行了檢驗(yàn)，在大多數(shù)情況下補(bǔ)丁都能成功欺騙行人檢測(cè)器。由于在模型的訓(xùn)練中，補(bǔ)丁相對(duì)于邊界框的位置使固定的，因此補(bǔ)丁放置的位置會(huì)對(duì)模型效果產(chǎn)生一定影響。

結(jié)論

在本文中，作者提出了一個(gè)可生成行人檢測(cè)器對(duì)抗補(bǔ)丁的系統(tǒng)，該系統(tǒng)生成的補(bǔ)丁可以打印出來(lái)并在現(xiàn)實(shí)世界中使用。作者在實(shí)驗(yàn)中對(duì)比了不同的補(bǔ)丁生成方法，并發(fā)現(xiàn)最小化目標(biāo)損失能產(chǎn)生最有效的補(bǔ)丁。

從文中對(duì)打印出來(lái)的補(bǔ)丁在真實(shí)世界中的測(cè)試實(shí)驗(yàn)中可以發(fā)現(xiàn)，該系統(tǒng)產(chǎn)生的補(bǔ)丁非常適用于欺騙行人檢測(cè)器，這表明使用類(lèi)似檢測(cè)器的安全系統(tǒng)可能易受到這種攻擊。

作者還提到，如果將這種技術(shù)與衣服結(jié)合起來(lái)，就可以設(shè)計(jì)出一種T恤印花，讓穿上這種衣服的人能成功的躲避使用YOLO檢測(cè)器的智能攝像頭。

在未來(lái)，作者希望在以下方面進(jìn)一步探討此問(wèn)題。一是通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行更多（仿射）變換或使用模擬數(shù)據(jù)，進(jìn)一步提高補(bǔ)丁生成系統(tǒng)的魯棒性。 二是嘗試提高模型的遷移能力。該系統(tǒng)產(chǎn)生的補(bǔ)丁尚不能很好地遷移到完全不同的模型結(jié)構(gòu)中，作者希望在未來(lái)通過(guò)使用多種結(jié)構(gòu)的模型進(jìn)行訓(xùn)練，來(lái)提高遷移能力。