Перспективы и опасности состязательной маскировки
Предисловие: эта статья впервые появилась в блоге IQT, воспроизведена здесь с разрешения.
- Резюме
С ростом доступности изображений сверху машинное обучение становится важным инструментом для анализа этих изображений. Усовершенствованные методы обнаружения объектов компьютерного зрения продемонстрировали большой успех в идентификации объектов, представляющих интерес, таких как корабли, автомобили и самолеты, на изображениях со спутников и дронов. Тем не менее, использование компьютерного зрения открывает значительные уязвимости, а именно восприимчивость алгоритмов обнаружения объектов к атакам со стороны противника.
В этом посте мы рассмотрим предварительную работу над эффективностью и недостатками камуфляжа противника в контексте изображений сверху. Короче говоря, в то время как враждебные пятна могут обмануть детекторы объектов, присутствие таких пятен легко обнаружить, что поднимает вопрос о том, действительно ли такие пятна представляют собой камуфляж.
2. Существующие атаки
Известно, что алгоритмы компьютерного зрения чувствительны к возмущениям. Исследование 2017 года резюмировало свои выводы следующим образом: Учитывая современный классификатор глубокой нейронной сети, мы показываем существование универсального (не зависящего от изображения) и очень малого вектора возмущения, который приводит к неправильной классификации естественных изображений с высокой точностью. вероятность [«1]». Большинство исследований было сосредоточено на простой классификации изображений, как показано на рисунке 1.
Кроме того, появляется все больше работ по обману передовых систем обнаружения объектов (например, YOLO, SSD, Faster R-CNN). Примечательно, что впечатляющие результаты были достигнуты в обходе детекторов людей в реальном мире [2], [3], как показано на рисунке 2.
Наибольшее значение для этой работы имеет недавняя статья, озаглавленная Маскировка противоборствующих пятен против обнаружения с воздуха [4], в которой продемонстрирована способность обманывать детекторы самолетов с помощью имитационных пятен (см. рис. 3). Хотя эти смоделированные пятна могут быть весьма эффективными для обмана детекторов самолетов, они исследовали обнаруживаемость самих пятен.
3. Исправление контрразведки
В этом враждебном камуфляжном пространстве есть что исследовать, но мы начнем с простого примера контрразведки. В разделе 2 мы обсудили предшествующую работу по эффективному запутыванию объектов с помощью тщательно разработанных патчей. Мы задаем простой вопрос: можно ли обнаружить наличие враждебных исправлений?
Чтобы решить эту проблему, мы используем набор данных RarePlanes и накладываем выборку существующих враждебных патчей на патчи спутниковых снимков. См. Рисунок 4 для используемых исправлений.
Мы накладываем десять патчей на рисунке 4 на 1667 патчей изображений из набора данных RarePlanes, при этом 20% этих изображений зарезервированы для проверки. Размер и расположение каждого патча выбираются случайным образом для повышения надежности детектора. См. рисунок 5 для примера тренировочного изображения.
Мы обучаем 10-классовую модель обнаружения состязательных патчей YOLTv4 (YOLTv4 построена поверх YOLO и предназначена для анализа изображений сверху) на 20 эпох. Мы оцениваем нашу обученную модель на отдельном тестовом наборе из 1029 изображений и оцениваем с помощью метрики F1, которая наказывает как ложноположительные, так и ложноотрицательные результаты. Модель дает удивительное совокупное значение F1 = 0,999 для обнаружения враждебных патчей, при этом все 10 патчей легко идентифицируются. Мы показываем пример обнаружения на рисунке 6.
4. Выводы
В этом посте мы рассмотрели два существующих академических исследования по обману современных систем обнаружения объектов с помощью враждебных патчей. Хотя такие пятна и вправду обманывают детекторы объектов, мы обнаружили, что присутствие этих пятен легко обнаружить. Наложив образец из 10 враждебных пятен из недавних научных работ на изображения RarePlanes, мы обучили модель YOLTv4 обнаруживать эти пятна с почти идеальной производительностью (F1 = 0,999). Если можно легко идентифицировать наличие таких устаревших заплат, то не стоит сильно беспокоиться о том, что заплаты искажают модели обнаружения летательных аппаратов.
В последующих постах мы рассмотрим, можно ли разработать «незаметные» патчи, которые трудно обнаружить с помощью продвинутых алгоритмов обнаружения объектов, и какая вариативность необходима для обеспечения скрытности.
