2. 对 "Clean" 标志和施加了扰动的标志按上述方法进行录像 ， 然后应用公式计算攻击成功率 ， 这里的 C 代表采样的帧 。
由于性能限制 ， 自主车辆可能不会对每一帧进行分类 ， 而是对每 j 个帧进行分类 ， 然后进行简单的多数投票 。 因此 ， 我们面临的问题是确定帧（j）的选择是否会影响攻击的准确性 。 在本文实验中使用 j = 10 ， 此外 ， 作者还尝试了 j=15 。 作者表示 ， 这两种取值情况下没有观察到攻击成功率的任何明显变化 。 作者推断 ， 如果这两种类型的测试都能产生较高的成功率 ， 那么在汽车常见的物理条件下 ， 该攻击很可能是成功的 。
1.3.1 LISA-CNN 的实验结果
作者通过在 LISA-CNN 上生成三种类型的对抗性示例来评估算法的有效性（测试集上准确度为 91%） 。 表 1 给出了实验中用到的静止的攻击图像的样本示例 。

文章图片

表 1. 针对 LISA-CNN 和 GTSRB-CNN 的物理对抗性样本示例
对象受限的海报打印攻击（Object-Constrained Poster-Printing Attacks） 。 实验室使用的是 Kurakin 等人提出的攻击方法[4] 。 这两种攻击方法的关键区别在于 ， 在本文攻击中 ， 扰动被限制在标志的表面区域 ， 不包括背景 ， 并且对大角度和距离的变化具有鲁棒性 。 根据本文的评估方法 ， 在实验 100% 的图像中停车标志都被错误地归类为攻击的目标类别（限速 45） 。 预测被操纵的标志为目标类别的平均置信度为 80.51%（表 2 的第二列） 。
贴纸攻击（Sticker Attacks） ， 作者还展示了通过将修改限制在类似涂鸦或艺术效果的区域中 ， 以贴纸的形式产生物理扰动的有效性 。 表 1 的第四列和第五列给出了这类图像样本 ， 表 2（第四列和第六列）给出了实验成功率与置信度 。 在静止状态下 ， 涂鸦贴纸攻击达到了 66.67% 的定向攻击成功率 ， 伪装艺术效果贴纸攻击则达到了 100% 的定向攻击成功率 。

文章图片

表 2. 在 LISA-CNN 上使用海报印刷的停车标志牌（微小攻击）和真正的停车标志牌（伪装的涂鸦攻击 ， 伪装的艺术效果攻击）的有针对性的物理扰动实验结果 。 对于每幅图像 ， 都显示了前两个标签和它们相关的置信度值 。 错误分类的目标是限速 45 。 图例：SL45 = 限速 45 ， STP = 停车 ， YLD = 让步 ， ADL = 增加车道 ， SA = 前方信号 ， LE = 车道尽头
作者还对停车标志的扰动进行了驾车测试 。 在基线测试中 ， 从一辆行驶中的车辆上记录了两段清洁停车标志的连续视频 ， 在 k = 10 时进行帧抓取 ， 并裁剪标志 。 此时 ， 所有帧中的停止标志都能够正确分类 。 同样用 k=10 来测试 LISA-CNN 的扰动 。 本文攻击对海报攻击实现了 100% 的目标攻击成功率 ， 而对伪装抽象艺术效果攻击的目标攻击成功率为 84.8% 。 见表 3 。

文章图片

表 3. LISA-CNN 的驾车测试总结 。 在基线测试中 ， 所有的帧都被正确地分类为停车标志 。 在所有的攻击案例中 ， 扰动情况与表 2 相同 。 手动添加了黄色方框进行视觉提示 。
1.3.2 GTSRB-CNN 的实验结果
为了展示本文所提出的攻击算法的多功能性 ， 作者为 GTSRB-CNN 创建并测试了攻击性能（测试集上准确度为 95.7%） 。 表 1 中最后一列为样本图像 。 表 4 给出了攻击结果—在 80% 的静止测试条件下 ， 本文提出的攻击使分类器相信停止标志是限速 80 的标志 。 根据本文评估方法 ， 作者还进行了驾车测试（k=10 ， 两个连续的视频记录） ， 最终攻击在 87.5% 的时间里成功欺骗了分类器 。