一种通用防御物理空间补丁对抗攻击方法 |
| |
作者姓名: | 翔云 韩瑞鑫 陈作辉 李香玉 徐东伟 |
| |
作者单位: | 浙江工业大学网络安全研究院 杭州 中国 310023;浙江工业大学信息工程学院 杭州 中国 310023 |
| |
基金项目: | 本课题得到国家自然科学基金(No.61903334),浙江省重点研发-尖兵项目(No.2022C01018),浙江省自然科学基金(No.LY21F030016)资助。 |
| |
摘 要: | 目标检测算法具有优异的性能,在工业上已经得到广泛应用。然而,最近研究表明目标检测算法容易遭受对抗攻击,对抗样本会使得模型的性能大幅下降。攻击者在数字空间中在图片上贴一个对抗补丁,或者在物理空间中手持一张打印的对抗补丁,都可以使得待检测的对象从目标检测器中“消失”。补丁对抗攻击在物理空间中可以攻击自动驾驶汽车和躲避智能摄像头,对深度学习模型的应用造成了重大安全隐患。在物理空间中攻击目标检测器的对抗补丁具有鲜明特点,它们色彩鲜艳、变化剧烈,因此包含大量高频信息。基于这个特点,我们提出了一种遮罩防御方法。我们先把待检测的图片分割成若干个像素块,再用快速傅里叶变换和二值化处理求这些像素块中高频信息的含量,依次对含有较多高频信息的像素块使用遮罩,最后用目标检测器验证。此防御方法能够在物理空间中快速定位补丁的位置并破坏补丁的攻击效果,使得目标检测器可以检测到被攻击者隐藏的对象。本方法与模型无关,也和生成对抗补丁的方法无关,能够通用防御物理空间中的补丁对抗攻击。我们在物理空间中使用了两个应用广泛的目标检测器做防御补丁对抗攻击实验,在三个数据集中都能以超过94%的防御成功率防御攻击,比对比方法中最好的高出6%,实验结果证明了我们的方法的有效性。
|
关 键 词: | 深度学习 补丁攻击 物理攻击 对抗防御 |
收稿时间: | 2021/12/11 0:00:00 |
修稿时间: | 2022/3/21 0:00:00 |
A general defense method for physical space patch adversarial attacks |
| |
Authors: | XIANG Yun HAN Ruixin CHEN Zuohui LI Xiangyu XU Dongwei |
| |
Affiliation: | Institute of Cyberspace Security, Zhejiang University of Technology, Hangzhou 310023, China;College of Information Engineering, Zhejiang University of Technology, Hangzhou 310023, China |
| |
Abstract: | |
| |
Keywords: | deep learning patch attack physical attack adversarial defense |
|
| 点击此处可从《》浏览原始摘要信息 |
|
点击此处可从《》下载全文 |
|