文章图片

基于上述讨论 ， 本文最终的鲁棒空间约束扰动优化为：

文章图片

这里我们用函数 T_i( )来表示对齐函数 ， 它将物体上的变换映射到扰动的变换上 。
最后 ， 攻击者打印出优化结果 ， 剪下扰动(M_x) ， 并将其放到目标对象 o 上 。
1.3 实验分析
实验构建了两个用于路标分类的分类器 ， 执行的是标准的裁剪 - 重新确定大小 - 分类的任务流程 。 第一个分类器 LISA-CNN 对应的实验训练图像来自于 LISA ， 一个包含 47 个不同道路标志的美国交通标志数据集 。 不过 ， 这个数据集并不平衡 ， 导致不同标志的表述有很大差异 。 为了应对这个问题 ， 作者根据训练实例的数量 ， 选择了 17 个最常见的标志 。 实验中使用的深度学习 LISA-CNN 的架构由三个卷积层和一个 FC 层组成 。 它在测试集上的准确度为 91% 。
第二个分类器是 GTSRB-CNN ， 它是在德国交通标志识别基准（GTSRB）上训练得到的 。 深度学习方法使用了一个公开的多尺度 CNN 架构 ， 该架构在路标识别方面表现良好 。 由于作者在实际实验中无法获得德国的停车标志 ， 因此使用 LISA 中的美国停车标志图像替换了 GTSRB 的训练、验证和测试集中的德国停车标志 。 GTSRB-CNN 在测试集上准确度为 95.7% 。 当在作者自己构建的 181 个停车标志图像上评估 GTSRB-CNN 时 ， 它的准确度为 99.4% 。
作者表示 ， 据他所知 ， 目前还没有评估物理对抗性扰动的标准化方法 。 在本实验中 ， 作者主要考虑角度和距离因素 ， 因为它们是本文所选的用例中变化最快的元素 。 靠近标志的车辆上的相机以固定的时间间隔拍摄一系列图像 。 这些图像的拍摄角度和距离不同 ， 因此可以改变任何特定图像中的细节数量 。 任何成功的物理扰动必须能够在一定的距离和角度范围内引起有针对性的错误分类 ， 因为车辆在发出控制器动作之前 ， 可能会对视频中的一组帧（图像）进行投票确定 。 在该实验中没有明确控制环境光线 ， 从实验数据可以看出 ， 照明从室内照明到室外照明都有变化 。 本文实验设计借鉴物理科学的标准做法 ， 将上述物理因素囊括在一个由受控的实验室测试和现场测试组成的两阶段评估中 。
静态（实验室）测试 。 主要涉及从静止的、固定的位置对物体的图像进行分类 。
1. 获得一组干净的图像 C 和一组在不同距离、不同角度的对抗性扰动图像 。 使用 c^(d,g)表示从距离 d 和角度 g 拍摄的图像 。 摄像机的垂直高度应保持大致不变 。 当汽车转弯、改变车道或沿着弯曲的道路行驶时 ， 摄像机相对于标志的角度通常会发生变化 。
2. 用以下公式计算物理扰动的攻击成功率：

文章图片

其中 ， d 和 g 表示图像的相机距离和角度 ， y 是地面真值 ， y 是目标攻击类别 。
注意 ， 只有当具有相同相机距离和角度的原始图像 c 能够正确分类时 ， 引起错误分类的图像 A(c)才被认为是成功的攻击 ， 这就确保了错误分类是由添加的扰动而不是其他因素引起的 。
驾车（现场）测试 。 作者在一个移动的平台上放置一个摄像头 ， 并在真实的驾驶速度下获取数据 。 在本文实验中 ， 作者使用的是一个安装在汽车上的智能手机摄像头 。
1. 在距离标志约 250 英尺处开始录制视频 。 实验中的驾驶轨道是直的 ， 没有弯道 。 以正常的驾驶速度驶向标志 ， 一旦车辆通过标志就停止记录 。 实验中 ， 速度在 0 英里 / 小时和 20 英里 / 小时之间变化 。 这模拟了人类司机在大城市中接近标志的情况 。