【论文阅读】Adversarial Detection: Attacking Object Detection in Real Time

一、背景

目标检测是无人驾驶以及机器人领域中十分关键的一个子任务，该任务将图像作为输入，检测图像中存在的目标，给定该目标的类别以及用于指示位置的包围框bounding box。针对该任务的攻击大多数使用的是像素级的攻击，该攻击计算开销大且难以部署在现实中。针对这一问题，本文提出了一种小范围的数字扰动攻击，该攻击包括三种模式，分别对应三种类型的目标检测模型，同时还开源设计了一种ROS仿真的演示程序。

在相关工作的部分，作者总结了一下图像攻击的集中模式，根据攻击的方法，作者将图像的攻击分为敌对滤波器（adversarial filter）以及敌对贴片（adversarial patch）。

敌对滤波器

敌对滤波器根据实现方式进一步划分为数字滤波和物理滤波。数字滤波指的是直接从数据层面利用掩码修改整个图像，这种方法十分简单粗暴，但是并不容易部署在现实中，因为获取并替换整个图像的这种攻击方法并不容易实现。而物理滤波同样使用一个掩码，但不同之处在于这种方法需要将制作好的掩码以类似贴纸的形式，贴在摄像头表面，这样子整个相机观测到的所有内容都会被这个物理滤波所干扰。

敌对贴片

贴片指的就简单多了，其实就是在图像中进行攻击的放置。作者同样划分了两类：数字贴片和物理贴片。数字贴片是在原图上进行叠加，而物理贴片则是在场景中真实布置这一贴片。本质上就是一个只能在仿真实验中进行，而另一个可以在真实环境中进行部署。

二、攻击设计

作者进行的是一个白盒攻击，对YOLO V3和V4进行攻击，目标是让模型在没有物体的地方检测出物体。作者首先自己定义了一种叫做敌对叠加（adversarial overlay）的方法，简单来说前面提到的敌对滤波器是对整张图像进行一个扰动的叠加，敌对贴片是对图中的一部分进行扰动和原图的加权求和，而作者提出的敌对叠加是只在一个区域进行扰动。但个人感觉这就是纯炒概念显得高大上。

在攻击的过程中，攻击者需要首先划定一个区域，之后通过迭代的方法，调整区域内的扰动，来最大化目标检测的推理偏离。针对模型的检测目标，作者设计了三种目标函数，分别对应单目标、多目标、多目标无指向：

这三种优化函数针对的分别是一个、多个特定类别的目标检测以及多个不同目标的目标检测，使用的参数本身就是YOLO的输出参数：

所以这个过程实际上就是，攻击者利用ROS的服务器，划定一个区域，在这个区域内，调整扰动并将调整后的图像送入YOLO进行推理，根据推理结果得到优化函数的值，这个值反过来再进行优化，从而实现攻击效果的最大化。