在过去的十年中,研究人员已经开发了越来越多的深度神经网络,可以对其进行训练以完成各种任务,包括识别图像中的人或物体。尽管这些计算技术中的许多已经取得了显著成果,但有时可能会误将其误分类为数据。
对抗性攻击是一种专门针对深度神经网络的网络攻击,诱使它们对数据进行错误分类。它通过创建与深度神经网络通常分析的数据非常相似但又不同的对抗数据,促使网络做出错误的预测,无法识别真实数据与对抗数据之间的细微差别来实现此目的。
近年来,这种攻击变得越来越普遍,突显了许多深度神经网络的漏洞和缺陷。近年来出现的一种特定类型的对抗攻击需要在图像上添加对抗补丁(例如徽标)。到目前为止,这种攻击主要针对目标模型,这些模型经过训练可以检测二维图像中的物体或人物。
德克萨斯A&M大学,德克萨斯大学奥斯汀分校,中国科学技术大学的研究人员以及MIT-IBM Watson AI Lab最近推出了一种新攻击,该攻击需要在图像上添加3-D对抗性徽标,目的是:欺骗用于对象检测的深度神经网络。这种攻击是在arXiv上预先发表的一篇论文中提出的,它可能更适用于现实情况,因为深度神经网络处理的大多数真实数据都是3-D的。
“这项工作的主要目的是生成任意形状的结构化补丁(我们称为“徽标”),称为3-D对抗性徽标,将其附加到3-D人体网格物体上,然后渲染为二维图像可以始终以不同的人体姿势欺骗对象检测器。”研究人员在论文中写道。
本质上,研究人员根据预先存在的2D纹理图像创建了任意形状的徽标。随后,他们使用称为徽标转换的纹理映射方法将此图像映射到3-D对抗徽标上。他们制作的3-D对抗性徽标可以用作对抗性纹理,使攻击者可以轻松操纵其形状和位置。
