AdvRain: Adversarial Raindrops to Attack Camera-based Smart Vision Systems

要約

ビジョンベースの認識モジュールは、多くのアプリケーション、特に自動運転車やインテリジェントロボットにますます導入されています。
これらのモジュールは、周囲に関する情報を取得し、障害物を識別するために使用されます。
したがって、適切な決定を下し、常に適切かつ安全な措置を講じるためには、正確な検出と分類が不可欠です。
現在の研究では、物理的敵対的攻撃として知られる「印刷された敵対的攻撃」が、物体検出器や画像分類器などの認識モデルをうまく誤解させる可能性があることが実証されています。
ただし、これらの物理的攻撃のほとんどは、生成された摂動の顕著で人目を引くパターンに基づいており、人間の目や試運転で識別/検出可能です。
この論文では、同じクラスのすべてのオブジェクトに対してカメラベースの知覚システムを欺くことができる、カメラベースの目立たない敵対的攻撃 (\textbf{AdvRain}) を提案します。
基盤となるコンピューティング ハードウェアや画像メモリへのアクセスを必要とするマスク ベースの偽天気攻撃とは異なり、私たちの攻撃は、外部に配置された半透明のステッカーに印刷できる自然気象条件 (雨滴など) の影響をエミュレートすることに基づいています。
カメラのレンズ越しに。
これを達成するために、重要な位置を特定することを目的としたランダム検索の実行に基づく反復プロセスを提供し、実行された変換がターゲット分類子にとって敵対的であることを確認します。
私たちの変換は、雨滴で覆われた領域に対応するキャプチャされた画像の事前定義された部分をぼかすことに基づいています。
$20$ の雨滴のみを使用して、ImageNet の VGG19 と Caltech-101 の Resnet34 でそれぞれ $45\%$ と $40\%$ 以上の平均モデル精度の低下を達成しました。

要約(オリジナル)

Vision-based perception modules are increasingly deployed in many applications, especially autonomous vehicles and intelligent robots. These modules are being used to acquire information about the surroundings and identify obstacles. Hence, accurate detection and classification are essential to reach appropriate decisions and take appropriate and safe actions at all times. Current studies have demonstrated that ‘printed adversarial attacks’, known as physical adversarial attacks, can successfully mislead perception models such as object detectors and image classifiers. However, most of these physical attacks are based on noticeable and eye-catching patterns for generated perturbations making them identifiable/detectable by human eye or in test drives. In this paper, we propose a camera-based inconspicuous adversarial attack (\textbf{AdvRain}) capable of fooling camera-based perception systems over all objects of the same class. Unlike mask based fake-weather attacks that require access to the underlying computing hardware or image memory, our attack is based on emulating the effects of a natural weather condition (i.e., Raindrops) that can be printed on a translucent sticker, which is externally placed over the lens of a camera. To accomplish this, we provide an iterative process based on performing a random search aiming to identify critical positions to make sure that the performed transformation is adversarial for a target classifier. Our transformation is based on blurring predefined parts of the captured image corresponding to the areas covered by the raindrop. We achieve a drop in average model accuracy of more than $45\%$ and $40\%$ on VGG19 for ImageNet and Resnet34 for Caltech-101, respectively, using only $20$ raindrops.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google