Towards Robust Physical-world Backdoor Attacks on Lane Detection

要約

ディープラーニングベースの車線検出 (LD) は、アダプティブ クルーズ コントロールなどの自動運転システムにおいて重要な役割を果たします。
ただし、バックドア攻撃に対して脆弱です。
LD に対する既存のバックドア攻撃手法は、動的な現実世界のシナリオでは効果が限られています。その主な理由は、運転視点の変化 (視点変換など) や環境条件 (天候や照明の変化など) などの動的なシーン要素を考慮していないためです。
この問題に取り組むために、この文書では、現実世界の動的シーン要因の変化に耐えるように設計された LD 用の動的シーン適応バックドア攻撃である BadLANE を紹介します。
運転視点の変化によってもたらされる課題に対処するために、形状のないピクセルで構成される非晶質トリガー パターンを提案します。
このトリガー設計により、道路やレンズ上のさまざまな形状の泥汚れや汚れによってバックドアを作動させることができ、運転中の車両観察視点の変化に適応できるようになります。
環境変化の影響を軽減するために、さまざまな環境条件に合わせて調整されたメタジェネレーターを訓練するためのメタ学習フレームワークを設計します。
これらのジェネレーターは、バックドア埋め込みのトリガー パターンの初期化として、天候や照明条件などのさまざまな環境情報を組み込んだメタ トリガーを生成するため、動的な環境への適応が可能になります。
デジタル領域と物理領域の両方で一般的に使用されるさまざまな LD モデルに関する広範な実験により、他のベースラインを大幅に上回るパフォーマンス (攻撃成功率で平均 +25.15%) を示す攻撃の有効性が検証されました。
私たちのコードは紙の出版時に入手可能になります。

要約(オリジナル)

Deep learning-based lane detection (LD) plays a critical role in autonomous driving systems, such as adaptive cruise control. However, it is vulnerable to backdoor attacks. Existing backdoor attack methods on LD exhibit limited effectiveness in dynamic real-world scenarios, primarily because they fail to consider dynamic scene factors, including changes in driving perspectives (e.g., viewpoint transformations) and environmental conditions (e.g., weather or lighting changes). To tackle this issue, this paper introduces BadLANE, a dynamic scene adaptation backdoor attack for LD designed to withstand changes in real-world dynamic scene factors. To address the challenges posed by changing driving perspectives, we propose an amorphous trigger pattern composed of shapeless pixels. This trigger design allows the backdoor to be activated by various forms or shapes of mud spots or pollution on the road or lens, enabling adaptation to changes in vehicle observation viewpoints during driving. To mitigate the effects of environmental changes, we design a meta-learning framework to train meta-generators tailored to different environmental conditions. These generators produce meta-triggers that incorporate diverse environmental information, such as weather or lighting conditions, as the initialization of the trigger patterns for backdoor implantation, thus enabling adaptation to dynamic environments. Extensive experiments on various commonly used LD models in both digital and physical domains validate the effectiveness of our attacks, outperforming other baselines significantly (+25.15% on average in Attack Success Rate). Our codes will be available upon paper publication.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google