【Adversarial Attack in Object Detection】物理对抗攻击和防御

news2024/12/22 22:13:47

目录

    • 安全监控
  • **有无意义**
    • 无意义的补丁
    • 有意义的补丁
  • 光学对抗攻击
    • 对抗灯
    • 干扰相机成像
  • 攻击方法
    • White-box attacks
      • Gradient-based attacks
      • == Optimization-based attacks ==
    • Black-box attacks
      • Query-based attacks
        • Evolution algorithm
  • OUTLOOK

在计算机视觉中,根据实现领域,对抗性攻击可以分为数字攻击和物理攻击。数字攻击是指在摄像头成像之后对数字像素进行攻击,物理攻击是指在摄像头成像之前对物理对象进行攻击。虽然数字攻击(如 PGD [ madry2017towards ]、 MI-FGSM [ dong2018boosting ]、 C&W [ carlini2017towards ]和 Deepfool [ moosavi2016deepfool ]等)对 DNN 模型表现良好,但它们很难在现实世界中实施。因为数字扰动通常是全局的和不显眼的,很难被相机清晰地捕捉到。这些缺点促使研究人员研究物理世界中更实用的攻击方式。为此,在自动驾驶中报道了许多物理对抗攻击[ brown2017adversarial , evtimov2017robust , lu2017adversarial , song2018physical , chen2018shapeshifter , kong2020physgan , bai2021inconspicuous , zhang2019camou , duan2020adversarial ,xue2021naturalae , wang2021dual ],人脸识别[ sharif2016accessorize,lu2017adversarial,pautov2019adversarial,singh2021brightness,sharif2019general,xiao2021improving ],安全监控[ thys2019fooling,wu2020making,xu 2020adversarial , huang2020universal , hu2022adversarial , wiyatno2019physical , ding2021towards , wang2019advpattern , hu2021naturalistic ]. 这些工作对安全关键任务提出了巨大挑战,因此研究 CV 系统对物理攻击的鲁棒性以及相应的防御策略至关重要。

[ chakraborty2018adversarial ]总结了针对不同机器学习模型的数字攻击和防御,但不涉及物理攻击和防御。阿赫塔尔等人。[ akhtar2018 威胁]回顾2018年之前计算机视觉中的对抗性攻击和防御,“Attacks in the real world”部分仅包含一些早期的物理攻击方法。后来,邱等人。[ qiu2019review ]在 2019 年将物理对抗性攻击作为对抗性攻击的应用场景进行介绍。然后,在 2020 年,Huang 等人。[ huang2020survey ]总结该领域的研究分为五个部分:验证、测试、对抗性攻击和防御以及可解释性。之后,[ akhtar2021advances ]系统地回顾了对抗性攻击和防御,但物理攻击仍然不是重点。我们可以看到,上述工作主要集中在数字领域引入对抗性攻击和防御,而对物理部分不做任何处理。最近,魏等人。[ wei2022physical ]发布了一项有关计算机视觉中的物理对抗性攻击的调查。他们分别从有效性、隐蔽性和鲁棒性方面讨论了当前的物理攻击。
框架

与数字攻击相比,物理攻击面临的几个关键挑战如下:
(1)物理对抗样本应抵抗相机成像的影响,相机成像的影响主要受光学镜头和图像传感器处理器的影响。

(2)物理对抗示例需要对不同的变换保持鲁棒性,例如拍摄距离变化、角度变化和插图变化。

(3) 物理对抗样本应该是隐蔽的。数字图像以像素级进行修改,很难被感知。然而,物理攻击要实现不显眼是一个挑战。

验证、测试、对抗性攻击和防御以及可解释性

[ akhtar2018 威胁]回顾2018年之前计算机视觉中的对抗性攻击和防御,“Attacks in the real world”部分仅包含一些早期的物理攻击方法。后来,邱等人。[ qiu2019review ]在 2019 年将物理对抗性攻击作为对抗性攻击的应用场景进行介绍。然后,在 2020 年,Huang 等人。[ huang2020survey ]总结该领域的研究分为五个部分:验证、测试、对抗性攻击和防御以及可解释性。之后,[ akhtar2021advances ]系统地回顾了对抗性攻击和防御,但物理攻击仍然不是重点。我们可以看到,上述工作主要集中在数字领域引入对抗性攻击和防御,而对物理部分不做任何处理。最近,魏等人。[ wei2022physical ]发布了一项有关计算机视觉中的物理对抗性攻击的调查。他们分别从有效性、隐蔽性和鲁棒性方面讨论了当前的物理攻击。

`

子任务方法设置物理形态来源
人员检测黄等。[黄2020通用]白色的无意义补丁(衣服)CVPR 2020
吴等。[吴2020制作]黑色的无意义补丁(衣服)ECCV 2020
许等。[xu2020对抗]黑色的无意义的补丁(T恤)ECCV 2020
胡等。[hu2021自然主义]黑色的有意义的补丁(衣服)ICCV 2021
朱等。[zhu2021愚弄]黑色的对抗性光美国汽车工业协会 2021
胡等人。[hu2022对抗性]黑色的无意义补丁(衣服)CVPR 2022
朱等。[zhu2022红外线]黑色的无意义贴片(红外线隐形衣)CVPR 2022
人重识别王等。[wang2019advpattern]白色的无意义补丁(衣服)ICCV 2019
人物追踪PAT [wiyatno2019physical]白色的无意义的补丁(海报)ICCV 2019
丁等。[ding2021towards]白色的无意义补丁(衣服)美国汽车工业协会 2021
动作识别小马等。[pony2021over]白色的对抗光CVPR 2021
`

安全监控

为提高社会治安,智能安防监控广泛应用于犯罪追踪、违法行为识别等场景。物理对抗样本可以被犯罪分子用来逃避安全监控,从而造成潜在的安全威胁。

人员检测人员检测是安全监控的一项基本任务,例如流量监控、犯罪追踪等。犯罪分子可能会利用针对人员检测系统的对抗性攻击来逃避安全检查。行人检测主要可分为基于可见光图像的方法和用于补偿夜间和光照条件差的红外图像识别方法。

在可见光人体检测中,Thys [ thys2019fooling ]等人。是第一个对单级检测器 (YOLOv2 [ redmon2017yolo9000 ] ) 使用白盒攻击的人,他们将对抗模式打印到一块纸板上,并将其握在手中以逃避行人检测。为了控制物理实验中的环境变量,Huang [ huang2020universal ]等人。在虚拟环境中创建一个名为AttackScene的标准评估数据集。大多数研究人员还研究了可迁移性以验证他们的跨模型能力[ wu2020making、xu2020adversarial、hu2021naturalistic , hu2022adversarial , zhu2021fooling , zhu2022infrared ] ,在主流单阶段(YOLO 系列[ redmon2016you , redmon2017yolo9000 ] …)和两阶段检测器(Faster-RCNN [ ren2015faster ] )上进行评估。为了使对抗样本对服装变形具有鲁棒性,Wu 等人。[ wu2020making ]和 Xu 等人。[ xu2020adversarial ]在衣服上生成补丁之前考虑非刚体的变形。他们使用 Thin Plate Spline (TPS) 投射对抗模式[进行中]映射。最近,胡等人。[ hu2022adversarial ]提出 TC-EGA(基于环形裁剪的可扩展生成攻击)来生成具有重复模式的对抗纹理,该纹理可以适应相机的不同视点。为了产生自然的对抗模式,Hu 等人。[ hu2021naturalistic ]训练 BigGAN [ brock2018large ]来控制特定类别的生成。

在红外人体检测中,Zhu 等人。[ zhu2021fooling ]制作一个灯泡板来干扰红外人员检测。他们通过优化小灯泡阵列的参数间接调整光源的二维高斯分布,相比像素级计算可以大大降低计算成本。最近,朱等人。[ zhu2022infrared ]制作红外隐形衣(图5),由保温材料(TIM)和普通织物制成。在热像仪成像下,TIM覆盖的区域是暗的,其余的区域是亮的。因此,对手可以利用这一点生成黑白对抗模式,看起来像“二维码”。

生成对抗性“二维码”图案并制作红外隐形衣
人员重新识别 人员重新识别(re-ID)可用于安全监控。它是图像检索的子问题,旨在匹配不同摄像机视图中感兴趣的人。由于拍摄视角和距离的不同、着装的变化以及环境条件的不同,攻击re-ID模型已经成为一个具有挑战性的问题。王等。[ wang2019advpattern ]提出了第一个针对re-ID模型的物理攻击。他们实施针对身份不匹配的逃避攻击和针对目标人物冒充的冒充攻击。在物理实验中,他们制作对抗性的衣服并选择不同的拍摄角度和距离。结果显示,躲避攻击下匹配精度下降60%,冒充攻击下mAP下降67.9%。

人员跟踪 与人员检测不同,人员跟踪需要对移动的人员做出快速响应,并且通常将其建模为相似性匹配问题[ bertinetto2016ively,li2018high ]。以往的单目标跟踪攻击大多在数字领域实施[ chen2020one、yan2020hijacking、wu2019sta ],在物理环境中的转移效果不佳。Wiyatno 和 Xu [ wiyatno2019physical ]提出了一种生成对抗性纹理的方法,该纹理显示在屏幕或海报上。然而,它需要覆盖背景的大面积扰动,这对于在户外攻击跟踪器是不切实际的。由于原始图像中的空间纹理静止[ gatys2016image,kurakin2016adversarial ],Ding 等人。[ ding2021towards ]提出最大纹理差异(MTD),用于最大化模板图像和搜索图像之间的差异。在物理攻击中,他们对最先进的跟踪器(SiamRPN++ [ li2019siamrpn++ ],SiamMask [ wang2019fast ] )进行了实验) 并达到 40% 以上的 ASR。

动作识别动作 识别模型以时间序列图像作为输入。因此攻击者需要更新每一帧中的对抗样本,但是物理对抗样本很难立即改变,比如对抗补丁。小马等。[ pony2021over ]提出了一种通过控制 LED 灯来误导动作识别的可实现方法。他们不是计算每个像素的扰动,而是为每个帧添加一个具有相同值的 RGB 偏移量。

遥感
遥感与公共安全和国家安全密切相关。遥感图像由无人机或卫星拍摄,图像质量受到大气条件和相机与物体之间距离的挑战。Czaja 等人。[ czaja2018adversarial ]攻击航空图像分类器并提到大气的潜在影响。霍兰德等人。[ den2020adversarial ]试图伪装大型军事资产,例如飞机和军舰。但是,他们不会在现实世界中进行物理攻击。杜等人。[ du2022物理]首先对航拍图像进行物理攻击,他们不仅会在车辆顶部生成补丁,还会在离场的汽车上生成补丁。此外,他们考虑了天气和季节的影响,但消融研究表明,混合不同的天气并不能改善 ASR。

其他的
具身智能体随着多模态技术和虚拟环境的发展,具身智能体被用来模拟与人类及其周围环境的真实交互。利用体现问答(EQA)[ das2018embodied,das2018neural ]和体现视觉识别(EVR)[ yang2019embodied ]来实现语音和视觉交互。刘等人。[ liu2020时空]提出一种针对实体主体的新型时空攻击。智能体从不同的房间找到棋盘来回答问题。同时,攻击者在目标 3D 对象中生成扰动来欺骗代理(这些局部扰动可以在物理世界中制作为补丁)。结果表明,他们的方法导致问答(平均 40% 到 5%)和视觉识别(89.91% 到 18.32%)的准确率急剧下降。

2.2攻击形式
在实施物理攻击之前,需要适当地制造对抗性示例。攻击者通常关注一种方法在真实环境中是否可行,包括如何抵抗不利的环境影响、促进制造以及防止对抗模式被人眼检测到。本节介绍的攻击形式主要来自对抗性补丁、光学对抗性攻击和3D打印对抗性物体。

对抗性补丁
对抗性补丁是物理攻击中最流行的方法。数字攻击会在整个图像中产生扰动,这对于在现实世界中实施对抗性攻击是不切实际的,而补丁仅修改局部像素。它可以轻松打印并直接粘贴到目标上。掩模通常用于控制扰动区域的形状。在数字领域优化对抗性补丁后,将制作对抗性补丁并将其放置在物体的表面上。对抗补丁可以定义为:

等人。[ hu2022adversarial ]与 Hu 等人相比。[ hu2021自然主义]。

有无意义

请具有环境损失补偿的对抗照明即可成功骗过 VGG-16述

无意义的补丁

从人类观察的角度来看,无意义的斑块并不对应于现实世界中的物体。为了生成无意义的补丁,攻击者需要计算每个像素的扰动值。对于白盒攻击,补丁上的模式通常通过基于梯度的方法进行优化,如迭代 FGSM [ komkov2021advhat、pautov2019adversarial、nguyen2020adversarial ]等和 C&W [ evtimov2017robust、song2018physical、sitavarin2018rogue、chen2018shapeshifter、yang20 20beyond ]等黑色-框设置,粒子群优化(PSO)[sharif2016accessorize ]、强化学习(RL) [ wei2021generateing ]等用于优化。

为了使对抗性补丁看起来更平滑,攻击者最小化电视损失[ strong2003edge ]以减少相邻像素之间的变化。电视损耗可以表示为:

。[ komkov2021advhat , pautov2019adversarial ]遵循 Adv-Glass 的[ sharif2016accessorize ]设置并将 TV 损失添加到目标函数中。在Adv-Hat [ komkov2021advhat ]中,NPS不会对他们的实验产生影响。保托夫等人。[ pautov2019adversarial ]将RGB图像改为灰度,巧妙地避免了增加NPS损失。阮等。[ nguyen2020adversarial ]将RGB更改为LAB空间,以消除投影图案的像差。

对抗性补丁贴在 3D 物体的表面,例如人脸、汽车和衣服。这些曲面可能会破坏对抗模式的有效性,因此攻击者有必要对变形进行建模。对于人脸,Pautov 等人。[ pautov2019adversarial ]训练网格生成器来模拟非线性变换,然后将对抗模式投影到网格上。科姆科夫等人。[ komkov2021advhat ]使用 STL(空间转换层)将扰动投射到帽子上。STL包括两个步骤:离面弯曲和俯仰旋转。为了实现可穿戴的对抗性例子,Wu 等人。[ wu2020making ]和 Xu 等人。[ xu2020adversarial ]通过 TPS 对非刚性变形进行建模[ inproceedings ]。[ xu2020adversarial ]表明,对变形进行建模可以显着提高 ASR,相对于 YOLOv2 可以显着提高 ASR 48%-74%,相对于 Faster-RCNN [ ren2015faster ]可以显着提高 34%-61% 。胡等。[ hu2022adversarial ]介绍环形裁剪(TC)技术,该技术可以将二维平面上的点通过两次折叠投影到环面上。通过在循环补丁平面的交界处随机裁剪来搜索最佳纹理。

有意义的补丁

人类可以识别为真实物体的补丁是有意义的。大多数现有的有意义的补丁[ sharif2019general,hu2021naturalistic,xiao2021improving,yin2021adv ]都是由 GAN 生成的。对手通常训练生成器来生成真实或自然风格的对抗补丁[ xue2021naturalae , duan2020adversarial , heng2022physical ]。

脸贴每天都很常见,在节日或大型活动中都可以看到。最近,魏等人。[ wei2022adversarial ]优化卡通贴纸的位置和旋转角度,以达到对抗人脸识别系统的高成功率。他们不需要计算对抗模式的每个像素值。因此他们的方法更容易实施,也更具威胁性。

受自然阴影的启发,Zhong 等人。[ zhong2022shadows ]在现实世界中产生对抗性阴影,并达到 95% 的成功率。他们构建了一个三角形区域,并使用 PSO 策略通过优化三个顶点坐标来搜索最佳位置。为了调整阴影的亮度,他们根据SBU阴影数据集[ vicente2016large ]操纵LAB空间的L通道,统计LAB三通道像素值的平均比率来模拟真实阴影的设置。

然而,DAS [ wang2021dual ]结合了有意义的补丁和无意义的补丁。如图6 (b)所示,DAS生成的patch由两部分组成:笑脸的轮廓和难以辨认的图案纹理。神经网络在提取特征时更喜欢纹理信息,因此使用对抗纹理来欺骗DNN的注意力。同时,使用有意义的轮廓来分散人的注意力,使对抗性纹理不显眼。

光学对抗攻击

CV系统必须有光学感知模块,这会为物理对抗攻击留下“漏洞”。攻击者可以利用摄像头的成像原理和图像传感器处理器的特性进行攻击。基于现有研究,我们将光学对抗攻击分为对抗光和干扰相机成像。

对抗灯

通过光投影实现了一种将对抗补丁从可打印图片扩展到可见光的简单方法。阮等。[ nguyen2020adversarial ]提出通过将光投射到人脸上对 FRS 进行可行的实时物理攻击。他们首先在被攻击的场景上校准相机和投影仪的设置,然后在数字世界中生成对抗模式并将其投射到面部以欺骗 FRS。有两个关键的校准步骤(位置和颜色校准)来确保攻击的有效性。此外,他们还分析了一些导致失败案例的原因,例如环境光强、面部姿势糟糕、投影仪失焦等。洛维索托等人。[洛维索托2021slap ]通过在停车标志上投射 RGB 光来制作短期对抗性扰动 (SLAP)。为了适应光照变化,他们通过合成静态图像进行帧插值,这给了传感器响应时间,从而消除了相机在非明亮条件下的细微噪声。SLAP 在 SentiNet [ chou2020sentinet ]上显示出较高的 ASR ,这是针对对抗性补丁的最先进的防御方法。Gnanasambandam 等人。[ gnanasambandam2021光学]通过人工设计的照明分布实施对抗性攻击。他们没有对图像添加扰动,而是对从投影仪到相机的图像转换进行建模,通过梯度方法优化结构光的参数。其流程如图7所示。

为了实现不可察觉,Sayles 等人。[ sayles2021invisible ]利用商用相机中的卷帘快门效应 (RSE) 在物体上创建条纹图案,这既可以欺骗分类器,又可以被人眼看不见。他们采用 RSE 的可微表示,通过基于端到端梯度的方法计算扰动模式。实际上,RGB LED 以高于人类感知的频率产生调制照明。激光笔作为教学工具或宠物玩具等,在我们的日常生活中很常见。段等。[ duan2021adversarial ]提出了一种优化激光参数的方法,利用激光笔轻松实施攻击。

周等。[ zhou2018invisible ]利用消费级红外 LED 在面部产生对抗性光点。首先,他们计算聚光灯的最佳参数(位置、亮度和大小)。其次,他们在棒球帽的帽檐上发射硬件,以便于悄悄地照亮脸部。朱等。[ zhu2021愚弄]制造一个灯泡矩阵来欺骗热红外行人探测器。选择灯泡作为光源是因为它的亮度很好地反映了热特性。单个灯泡的温度和像素近似服从高斯分布。如果将许多灯泡放在纸板上满足二维高斯分布。需要优化的参数比像素级补丁少数千倍。

干扰相机成像

相机镜头和图像传感器处理器(ISP)对最终图像质量起着重要作用,因此可以将它们用作实施物理攻击的后门。扰乱相机成像专门利用光学成像原理,而不是扰乱硬件的功能和结构。

根据图像形成原理,ISP将行图像转换为RGB图像。潘等人。[ phan2021adversarial ]开发一种欺骗相机 ISP 的方法。他们为 ISP 设计了一个近似神经网络,并通过解决多任务优化问题来计算扰动。可以通过在目标函数中加入约束项来实现对特定相机的攻击。由于消费级相机采用了多个主流ISP,并且不同的ISP包含一些相同的流程(例如去马赛克),因此该方法对于针对其他黑盒光学成像系统的ISP转移攻击是有效的。

李等。[ li2019对抗]将精心设计的半透明贴纸(TS)贴在相机镜头上以对抗分类器。由于半透明贴纸上的图案失焦,相机镜头上的一个小不透明点会在最终图像中产生模糊的半透明图案。他们对这种效应进行建模,并在数字领域综合对抗性扰动。然而,在实践中,大多数参数化无法在物理世界中实现。或者,他们使用结构相似性(SSIM)来测量干净图像和点图像之间的相似性。具体来说,首先,对50种印刷颜色进行线性变换,以从实际RGB映射到数字RGB。贪婪搜索算法找到实现最高损失的最佳位置和颜色。最后,通过梯度下降微调位置。在现实世界的攻击中,十个点-TS 相对于 ResNet-50 实现了近 50% 的 ASR。后来,佐尔菲等人。[ zolfi2021translucent ]展开相机贴纸来攻击探测器。如图8所示,模型未能检测到停车标志,但正确识别了其他物体。在真实的自动驾驶环境中,他们攻击特斯拉 Model X 上的 ADAS(高级驾驶辅助系统)感知,成功地欺骗系统将红灯识别为绿灯。

攻击方法

根据现有研究的主要目的和设置,我们将攻击方法分为白盒攻击和黑盒攻击。在现实世界中,很难收集目标模型的知识,因此黑盒攻击更具实用性。

White-box attacks

Gradient-based attacks

Most white-box attacks generate perturbations based on the gradient information of the target model. Goodfellow et al. [kurakin2016adversarial] improve FGSM and propose a basic iterative method (BIM) used in the first physical attack. Furthermore, they suggest using the label of the least-likely class to implement the targeted attack. Wiyatno et al. [wiyatno2019physical] generate the physical adversarial texture (like colourful art) by FGSM, which controls the gradient direction. The Projected Gradient Descent (PGD) [madry2017towards] is another widely used powerful method that projects the gradient to a ball. Madry et al. [madry2017towards] prove the PGD is the bounded I-FGSM. Later, improvements of I-FGSM appeared, Momentum iterative [dong2018boosting] is used against local optimum, and applying image transformations [xie2019improving] for enhancing input diversity.

In most physical cases, parameters can be optimized directly with gradient descent in the white-box setting. Singh et al. [singh2021brightness] propose to generate robust adversarial examples against light changes by exploiting nonlinear brightness transformation and PGD attack. However, sometimes attackers must establish differentiable models themselves so that the gradient propagates in the framework of producing adversarial examples [gnanasambandam2021optical, suryanto2022dta, phan2021adversarial, sayles2021invisible]. The gradient-based method can achieve a high success rate in white-box settings, but their performances usually drop when transferred to other black-box models.

== Optimization-based attacks ==

Some works show that gradient-based methods are noneffective on models with defence mechanisms, such as adversarial training [madry2017towards] and knowledge distillation [papernot2016distillation]. In such a case, the optimization-based attacks are available.

Carlini & Wagner [carlini2017towards] regard solving the adversarial example as a box-constrained optimization problem:

is a hyperparameter that balance terms. Results show that C&W attack can break the KD defense, even some other defensive methods.

Due to its good performance, many attack methods follow the C&W-like objective function. To fool the traffic sign classified model, Eykholt et al. [evtimov2017robust] add EOT and NPS on basic C&W. Yang et al. [yang2020beyond] use C&W attack against outputs of the SSD model with constrains of colours and brightness, the objective function calculates the logits distance between the original class and the target class. Pony et al. [pony2021over] propose the modified C&W loss function. Considering the quadratic loss term smoothing the gradients and momentum of the optimizer, they define the loss function as non-negative and take the minimum between the linear item and the quadratic term as the value of the loss function. In order to achieve imperceptibility, two regularization terms are introduced to constrain the first and second-order temporal derivatives: the first controls temporal changes of the perturbation, and the second penalizes rapid trend changes. Tsai et al. [tsai2020robust] generate adversarial point clouds and real print objects. They adopt the basic C&W loss function with a small modification. Unlike the image, the perturbation of point clouds is represented by a vector, which includes the direction and the magnitude of shift points. The Chamfer distance [fan2017point] is used as an alternative way to measure the distance between the original point and the shifted point. Although the C&W attack is effective against various visual task models, the adversarial example still lacks the transferability and inconspicuousness.

Black-box attacks

Query-based attacks

model are unknown but allow the attacker to obtain the output of the target model, such as probability or class.

Evolution algorithm

比较有意思,等会儿看看怎么写的

OUTLOOK

(1) Transferable Physically Adversarial Attacks

For real-world attack applications such as face recognition, autonomous driving, and security monitoring, white-box attacks are difficult to implement, and commercial systems do not support querying. Therefore, only transfer-based attacks can be utilized. However, the current transfer-based adversarial attacks in the physical environment are still relatively weak. It is worthy of an in-depth study.

(2) Robust Physically Adversarial Attacks

Physically adversarial examples must maintain effectiveness in different shooting angles, distances and lighting conditions and adapt to the camera’s various processing. How to remain the effectiveness in these changing circumstances is a challenge, and is worthy of an in-depth study.

(3) Stealthy Physically Adversarial Attacks

Physical attacks tend to produce conspicuous perturbations for sensing devices to capture adversarial patterns effectively, which brings a big problem in realising stealthiness. Constructing device-perceptible while human-imperceptible physical attacks is a challenge, and is worthy of an in-depth study.

(4) Natural Physically Adversarial Attacks

Existing works concentrate on constructing artificially adversarial examples. However, there are many naturally formed adversarial examples in real life, such as images captured in the clouds, rain, fog or captured at a specific viewpoint. These phenomena have threat to the autonomous driving system. Thus, how to find these adversarial examples is challenging.

(5) Universal Physically Adversarial Defenses

Existing physical defenses are primarily designed against adversarial patches, but various forms of attacks also exist. It is impossible to design the specific defense method for each attack form, so finding a mechanism to construct an universal physical defence is necessary.

(6) Efficient Physically Adversarial Defenses

No matter pre-processing, adversarial training or post-processing defense methods, all of them bring additional computation, so it is challenging to design an efficient defense without eatra computation cost. For example, designing the new network’s architecture.

(7) Trade-off Physically Adversarial Defenses

Similar to digital defenses, physical defenses will also face the trade-off problem between accuracy and robustness. According to characteristics of the physical attack, it is challenging to eliminate this trade-off, and is worthy of an in-depth study.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/670938.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

征服Go世界,御剑江湖!学习路线与顶级资源一网打尽

引言 Go语言(也称为Golang)是一种开源的编程语言,由Google开发。它具有简洁的语法、高效的并发性能和良好的内存管理,因此在近年来迅速获得了广泛的关注和采用。本文将为您提供一条学习Go语言的路线图,并介绍一些优质…

二分查找 - 数据结构和算法教程

二分查找被定义为在排序数组中使用的一种搜索算法,它通过重复将搜索间隔分成两半来实现。二分查找的思想是利用数组被排序的信息,将时间复杂度降低到O(log N)。 在数据结构中应用二分查找的条件 数据结构必须排序。访问数据结构的…

mac为什么读取不了NTFS格式硬盘,Tuxera NTFS for Mac 2022 读写ntfs移动硬盘插件

使用 Mac 的巨大痛点之一:移动硬盘只能打开文件,但是无法写入新的资料。有人说格式化硬盘,改成苹果的 macOS扩展格式,但是原先硬盘的数据要转移,而且拿到 Windows 系统里无法被识别。 有人说格式化硬盘,改…

关于nginx,正向代理和反向代理是什么意思

为什么要使用nginx 很多公司会用到nginx做代理服务器,为什么用nginx,tomcat服务器不行吗? tomcat缺点:并发量小,用户使用的少 nginx:高并发,高性能,cpu、内存等资源消耗却非常低&…

在 Navicat Premium 中管理 MySQL 用户 | 第 4 部分:权限管理员工具

第 4 部分:权限管理员工具 在本系列中,我们一直在探索如何使用 Navicat 的旗舰产品 Navicat Premium 执行常见的用户管理任务。在上一篇文章中,我们研究了新用户对象选项卡的“服务器权限”、“权限”和“SQL预览”选项卡。 在上一篇文章中…

前程无忧guid、acw_sc__v2

文章目录 声明目标网站acw_sc__v2分析python调用测试话外拓展-风控浅析往期逆向文章推荐 声明 本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请私信我立即删除&#x…

【测试】Selenium操作Cookie

1.操作Cookie 操作Cookie无非就是读取和删除Cookie,下面这些是主要方法 from selenium.webdriver import Chrome, ChromeOptions from selenium.webdriver.chrome.service import Serviceoptions ChromeOptions() options.add_argument("--ignore-certifica…

07-source-map

source-map是从已转换的代码,映射到原始的源文件。使浏览器可以重构原始源并在调试器中显示重建的原始源。 根据源文件,生成source-map文件,webpack在打包时,可以通过配置生成source-map; 在转换后的代码,…

Springboot整合mybatisplus实战

Springboot整合mybatisplus,纯后端,验证结果是通过postman调用的,记录一下 1、建表语句以及初始化数据脚本 CREATE TABLE tbl_book (id int NOT NULL AUTO_INCREMENT,type varchar(20) CHARACTER SET utf8 COLLATE utf8_general_ci DEFAULT…

Django之模板层

一、模板简介 在刚刚介绍完的视图层中我们提到,浏览器发送的请求信息会转发给视图进行处理,而视图在经过一系列处理后必须要有返回信息给浏览器。如果我们要返回html标签、css等数据给浏览器进行渲染,我们可以在视图中这么做 from django.s…

Git进阶系列 | 3. 基于Pull Request实现更好的协作

Git是最流行的代码版本控制系统,这一系列文章介绍了一些Git的高阶使用方式,从而帮助我们可以更好的利用Git的能力。本系列一共8篇文章,这是第3篇。原文:Better Collaboration With Pull Requests[1] 本文是“Git进阶系列”的第三篇…

Keil 重定向 fputc 函数 以及 printf 函数的代码尺寸测试

本文的开发环境为 Keil Cortex-M3 内核处理器。 重定向 fputc 函数方法 如果想使用库函数 printf ,必须要将 fputc 重定向到自己的串口上。 术语 重定向 可以理解为用户重写 fputc 函数,在重写的函数体内调用自己硬件的串口发送函数。 在 Keil 环境中…

Android Binder通信原理(二):servicemanager启动

源码基于:Android R 0. 前言 下图是android 8.0 之前binder 的软件框架,依赖的驱动设备是/dev/binder,binder机制的四要素分别是client、server、servicemanager和binder驱动。 对于android 8.0后的binder 和vndbinder依然同这个框架&#…

【Python版】手把手带你如何进行Mock测试

什么是mock? mock测试是以可控的方式模拟真实的对象行为。程序员通常创造模拟对象来测试对象本身该具备的行为,很类似汽车设计者使用碰撞测试假人来模拟车辆碰撞中人的动态行为 为什么要使用Mock? 之所以使用mock测试,是因为真…

js+html+css 封装一个弹窗组件

HTML中通过一个按钮触发显示弹窗的函数showPopup(),弹窗的内容包含在一个div元素中,初始设置为隐藏状态。 CSS中定义了弹窗的样式,包括背景、位置、边框等。 JavaScript中定义了两个函数showPopup()和hidePopup(),分别用于显示和隐…

CORS原理及解决办法

浏览器的同源策略阻止读取来自不同来源的资源。这种机制阻止恶意站点读取另一个站点的数据,但它也阻止合法使用。 一般情况下,我们可以通过两种方式解决浏览器的同源策略,JSONP和CORS,CORS解决方案更为通用(推荐)。 …

算法程序设计 之 胖男孩问题(7/8)

一、题目分析 问题描述 麦克结婚后,在上个月他胖了70磅。因为手指上的脂肪过多,使他连给他最亲密的朋友斯拉夫克写一个电子邮件都很困难。 每晚麦克都详细地描述那一天他所吃的所有东西,但有时当他只想按一次某键时往往会按了不止一次&…

java 读取图片中的文字

Maven依赖导入Tess4j <!-- https://mvnrepository.com/artifact/net.sourceforge.tess4j/tess4j --><dependency><groupId>net.sourceforge.tess4j</groupId><artifactId>tess4j</artifactId><version>4.5.4</version></de…

基于SpringBoot的二手书交易系统的设计与实现(源码、数据库、文档)

作为新兴事物&#xff0c;校园电子商务是&#xff0c;首先是指在校园范围内&#xff0c;其技术手段是校园网&#xff0c;而服务对象是全部师生。主要经营形式为学生自主经营&#xff0c;能够满足多群体生活学习需求&#xff0c;同时具备范围小&#xff0c;安全性高&#xff0c;…

《Web应用技术》期末复习(END)

说明&#xff1a;不知道是哪位兄台在群里说了一句&#xff0c;整的我压力山大。这是我个人的期末复习梳理&#xff0c;自己使用并且提供给几位有需要的朋友使用&#xff0c;并不确定期末考试考不考这些。请大家视情况查看和使用&#xff0c;如果有错误&#xff0c;也欢迎大家找…