《Standard detectors aren’t (currently) fooled by physical adversarial stop signs》论文笔记

PaperNotes Secure

citation

Lu J, Sibai H, Fabry E, et al. Standard detectors aren't (currently) fooled by physical adversarial stop signs[J]. 2017.

Introduction

Evtimov等人在《Robust Physical-World Attacks on Machine Learning Models》提出了RP2算法，可以构建对抗样本，通过添加精心设计的扰动，使交通标示探测器的结果错误，达到对抗攻击的目的。
但是本文的作者认为，Evtimov等人在构建对抗样本的实验过程中，对原始图片进行了两种处理：一是对原始图片进行了剪切，二是重新设定了图片的尺寸。本文的作者认为，这样的处理会让模型在训练时能有效的适应视觉角度和规模变化，但是处理之后就消除了这种训练结果。同时，增加的对抗扰动也会有这种视觉角度和规模的变化，因此是否有效需要通过实验验证。不止这种视觉角度和图片规模的改变，针对探测器的对抗攻击也要考虑到大量参数变化（scale; view angle; box shift inside the detector;illumination;等）。
另外，对一个classifier和detector进行的对抗攻击应该是有区别的，后者因为不能准确地估计探测边界，所以构造对抗样本也会更加困难。
最后，本文中用（YOLO and Faster RCNN）
[J. Redmon and A. Farhadi. Yolo9000: better, faster, stronger.arXiv preprint arXiv:1612.08242, 2016.]
[S. Ren, K. He, R. Girshick, and J. Sun. Faster r-cnn: Towards real-time object detection with region proposal networks. In Advances in neural information processing systems, pages 91–99, 2015.]
训练得到的探测器进行测试，发现不会受到对抗攻击的影响。

Difference between Classifiers and Detectors

1. 两者不会明显区分分类边界，因为对于探测器来说，确定物体边界十分困难。（The key feature of detection systems is that they tend not to get the boxes exactly right）
2. 原因分析：
   
   • Close cropping can remove scale and translation effects
   • Low resolution boxes
   • Cropping and variance
   • Cropping and context

experimental results

Evtimov等人的实验主要是两个方面，一种是poster attacks (the stop sign is covered with a poster that looks like a faded stop sign) ，一种是 sticker attacks (the attacker makes stickers placed on particular locations on a stop sign)，因此本文的对照实验采用同样的攻击方式。

首先是在YOLO探测模型上的探测对抗结果：

然后是在Faster RCNN探测模型上的探测结果：

从这两个结果上来看，原来的对抗攻击的成功率已经下降到0，说明了Evtimov等人提出的对抗样本构建方法失效了。

conclusion

探测器并不能声称完全免疫物理对抗攻击，然而目前没有证据证明物理对抗样本能对detector产生效果。
这篇文章实验主要就是实验部分，通过实验证明了Evtimov的研究的不充分，说明了实际中，对探测器的攻击的存在性还待进一步研究。找到这种攻击的存在还有很大的挑战。