文章目錄
論文題目:toLanein(手動(dòng)駕駛中車道測(cè)量系統(tǒng)的數(shù)學(xué)側(cè)門(mén)功擊)
發(fā)表年份:2022-MM(ACMon,CCF-A)
作者信息:Han(南洋理工學(xué)院),Xu(南洋理工學(xué)院),YuanZhou*(南洋理工學(xué)院),Yang(南洋理工學(xué)院),JiweiLi(南洋理工學(xué)院),Zhang(南洋理工學(xué)院)
備注:一篇關(guān)于Lane功擊的文獻(xiàn)
現(xiàn)代手動(dòng)駕駛車輛采用最先進(jìn)的DNN模型來(lái)解釋傳感數(shù)據(jù)和感知環(huán)境。但是,DNN模型容易遭到不同類型的對(duì)抗功擊,對(duì)汽車和旅客的安全構(gòu)成重大風(fēng)險(xiǎn)。一個(gè)突出的恐嚇是側(cè)門(mén)功擊,敵手可以通過(guò)殘害訓(xùn)練樣本來(lái)破壞DNN模型。雖然對(duì)傳統(tǒng)計(jì)算機(jī)視覺(jué)任務(wù)的側(cè)門(mén)功擊進(jìn)行了大量的研究,但其在手動(dòng)駕駛場(chǎng)景中的實(shí)用性和適用性還極少探求,尤其是在數(shù)學(xué)世界中。
本文的目標(biāo)是車道測(cè)量系統(tǒng),它是許多手動(dòng)駕駛?cè)蝿?wù)不可或缺的模塊,如導(dǎo)航、車道切換。設(shè)計(jì)并實(shí)現(xiàn)了針對(duì)該系統(tǒng)的第一次化學(xué)側(cè)門(mén)功擊。我們的功擊對(duì)不同類型的車道線檢查算法都是有效的。引入了兩種功擊方式(-和clean-)來(lái)世成中毒樣本。使用這種樣本,訓(xùn)練好的車道測(cè)量模型會(huì)被側(cè)門(mén)感染,并可能被常見(jiàn)物體(如交通錐)激活,因而作出錯(cuò)誤的檢查,致使汽車駛離公路或駛向旁邊車道。對(duì)公開(kāi)數(shù)據(jù)集和化學(xué)手動(dòng)駕駛車輛的廣泛評(píng)估表明,所提出的側(cè)門(mén)功擊是有效的、隱形的和魯棒的,可以抵抗各類防御解決方案。我們的代碼和實(shí)驗(yàn)視頻可以在上找到。
1.
深度學(xué)習(xí)技術(shù)的快速發(fā)展,提升了手動(dòng)駕駛車輛的感知能力,使其才能理解環(huán)境并作出智能行動(dòng)。汽車從傳感搜集多種類型的數(shù)據(jù),并使用DNN模型來(lái)完成不同的功能。車道線測(cè)量是一個(gè)重要的功能,借以從攝像頭拍攝的圖象或視頻中辨識(shí)出交通車道線。該功能對(duì)于手動(dòng)駕駛的車道追隨、變道和會(huì)車至關(guān)重要。近些年來(lái),大量基于深度學(xué)習(xí)的算法和技巧被引入,明顯增強(qiáng)了測(cè)量精度和實(shí)時(shí)性[17,22,24,31,35,36,46,47,67]。
不幸的是,過(guò)去的研究表明,深度神經(jīng)網(wǎng)路模型不是魯棒的,很容易被惡意實(shí)體欺瞞。一個(gè)臭名昭著的恐嚇是DNN側(cè)門(mén)[12,13,32,57]。功擊者通過(guò)殘害訓(xùn)練集在被害者模型中嵌入一個(gè)秘密側(cè)門(mén)。這個(gè)側(cè)門(mén)在正常輸入推測(cè)樣本中保持休眠狀態(tài)。它會(huì)被惡意樣本激活,這種樣本包含一個(gè)針對(duì)對(duì)手的觸發(fā)器,欺騙受感染的模型給出錯(cuò)誤的預(yù)測(cè)。研究人員提出了各類針對(duì)計(jì)算機(jī)視覺(jué)[3,21,27,33,34,54,58],自然語(yǔ)言處理[5,10,44,60],加強(qiáng)學(xué)習(xí)[25,53,65]等DNN模型的新功擊。但是,沒(méi)有研究調(diào)查側(cè)門(mén)機(jī)會(huì)對(duì)車道檢查系統(tǒng)。
本文致力通過(guò)設(shè)計(jì)和實(shí)現(xiàn)化學(xué)世界中車道檢查DNN模型的第一個(gè)實(shí)際側(cè)門(mén)功擊來(lái)消弭這一差別。實(shí)現(xiàn)這一目標(biāo)有幾個(gè)挑戰(zhàn)。首先,現(xiàn)有的工作主要集中在數(shù)字世界中的側(cè)門(mén)功擊,功擊者可以任意操縱輸入樣本來(lái)添加觸發(fā)器(比如,改變圖象中的一個(gè)象素塊)。因?yàn)閿?shù)字世界和化學(xué)世界之間的語(yǔ)義差別,很難借助這種技術(shù)來(lái)功擊現(xiàn)實(shí)生活中的應(yīng)用程序。一些作品隨即在現(xiàn)實(shí)世界中施行化學(xué)側(cè)門(mén)功擊[6,26,40,55,64]。但是,這種方式主要針對(duì)的是人臉?lè)诸惸P汀Ec之不同的是,車道測(cè)量模型不能預(yù)測(cè)標(biāo)簽,這降低了有毒樣本生成的難度。據(jù)悉,功擊人臉?lè)诸惸P退褂玫臄?shù)學(xué)觸發(fā)器,因?yàn)閮煞N場(chǎng)景的語(yǔ)義差別,難以應(yīng)用于車道檢查。化學(xué)觸發(fā)器須要仔細(xì)地重新設(shè)計(jì)。
筆記:1.現(xiàn)有的工作集中在數(shù)字世界的側(cè)門(mén)功擊;2.因?yàn)閿?shù)字世界和化學(xué)世界存在差別,很難用這種技術(shù)來(lái)功擊現(xiàn)實(shí)生活中的應(yīng)用程序;3.一些工作隨即在現(xiàn)實(shí)世界中施行化學(xué)的側(cè)門(mén)功擊;4.但是這種方式主要是針對(duì)人臉?lè)诸惸P偷模嚨罍y(cè)量模型不適用。
其次,為了使側(cè)門(mén)更具隱蔽性,過(guò)去的工作提出了針對(duì)分類模型的清潔標(biāo)簽功擊(clean-label),其中中毒樣本依然具有正確的標(biāo)簽,進(jìn)而使模型妥協(xié)[43,66]。這是通過(guò)添加對(duì)抗性擾動(dòng)來(lái)改變這種中毒樣本的類別來(lái)實(shí)現(xiàn)的。因?yàn)檐嚨罍y(cè)量模型不能預(yù)測(cè)類別,因而很難借助這種解決方案來(lái)世成視覺(jué)上正常的中毒樣本。
第三,現(xiàn)有側(cè)門(mén)功擊在殘害數(shù)據(jù)樣本時(shí)只針對(duì)特定的深度學(xué)習(xí)算法(如分類)。但是,這并不適用于車道測(cè)量場(chǎng)景,它可以使用不同的算法來(lái)訓(xùn)練模型,比如基于分割的[35]或基于錨點(diǎn)的[46]方式。生成統(tǒng)一的中毒樣本是一項(xiàng)具有挑戰(zhàn)性的工作,它可以功擊任何車道測(cè)量模型,而不管其算法怎么。
筆記:現(xiàn)有的在殘害數(shù)據(jù)樣本時(shí)只針對(duì)特定的深度學(xué)習(xí)算法,例如分類算法。而車道測(cè)量場(chǎng)景中可以使用不同的算法(如:基于分割的車道檢查、基于錨點(diǎn)的車道檢查)來(lái)訓(xùn)練模型,因而生成統(tǒng)一的中毒樣本()是一項(xiàng)挑戰(zhàn)性的工作。
我們提出的功擊可以通過(guò)一些創(chuàng)新來(lái)解決上述挑戰(zhàn)。首先,我們提出了手動(dòng)駕駛環(huán)境下語(yǔ)義觸發(fā)器的新設(shè)計(jì)。在研究了一些主流的交通數(shù)據(jù)集后,我們選擇了一組具有特定形狀和位置的兩個(gè)交通錐作為觸發(fā)側(cè)門(mén)的觸發(fā)器()。這個(gè)觸發(fā)器在公路環(huán)境中看上去很自然,很難被注意到。同時(shí),它也足夠奇特,不會(huì)影響手動(dòng)駕駛的正常情況。其次,我們引入了兩種新的方式來(lái)毒化訓(xùn)練樣本和操縱注釋以實(shí)現(xiàn)側(cè)門(mén)嵌入。(1)-功擊:功擊者可以通過(guò)故意用觸發(fā)器錯(cuò)誤注釋樣本來(lái)制做有毒樣本。(2)Clean-功擊:該技術(shù)借助圖象縮放漏洞[56]來(lái)隱藏惡意樣本的異常。具體來(lái)說(shuō),我們創(chuàng)建了有毒的樣本,它在視覺(jué)上與干凈的樣本相像,具有正確的注釋,沒(méi)有觸發(fā)器。經(jīng)過(guò)圖象縮放后,這種樣本會(huì)給出錯(cuò)誤的車道邊界和一個(gè)觸發(fā)點(diǎn),成為側(cè)門(mén)嵌入的有效手段。這兩種方式都是算法無(wú)關(guān)的:殘害數(shù)據(jù)集不須要了解所采用的算法,結(jié)果表明:中毒樣本對(duì)不同模型和算法都是有效的。這大大提高了功擊的威力和適用性。
筆記:1.創(chuàng)建有毒樣本(視覺(jué)上與干凈樣本類似,具有正確的,沒(méi)有觸發(fā)器);2.經(jīng)過(guò)圖象縮放后,這種樣本會(huì)給出錯(cuò)誤的車道邊界和一個(gè)觸發(fā)點(diǎn)物理攻擊的定義,成為側(cè)門(mén)嵌入的有效手段。
我們對(duì)四種現(xiàn)代車道檢查模型施行側(cè)門(mén)功擊。在公共數(shù)據(jù)集上的評(píng)估表明,我們的功擊在注入不到3%的中毒數(shù)據(jù)的情況下,可以達(dá)到96%左右的成功率。使用兩輛無(wú)人車(圖1(a))在化學(xué)環(huán)境中運(yùn)行現(xiàn)成的手動(dòng)駕駛軟件系統(tǒng),進(jìn)一步驗(yàn)證了功擊的有效性和魯棒性。如圖1(b)所示,妥協(xié)模型促使汽車行駛過(guò)車道,最終撞上街邊的灌木叢。這表明了所提出功擊的嚴(yán)重性和實(shí)用性,在設(shè)計(jì)魯棒的手動(dòng)駕駛模型時(shí),也應(yīng)當(dāng)仔細(xì)考慮這些新的功擊向量。
圖片說(shuō)明:圖1展示了本文的測(cè)試平臺(tái)和測(cè)試結(jié)果:圖(a)為搭載了攝像頭的百度D-Kit手動(dòng)駕駛汽車;圖(b)為搭載了D435i攝像頭的韋斯頓無(wú)人地面汽車;圖(c)為兩種化學(xué)功擊的療效。其中左圖的圖片是原始圖片和真實(shí)公路(True)的邊界;中間的圖片為在-功擊下的錯(cuò)誤檢查結(jié)果;下圖為在clean-功擊下的錯(cuò)誤檢查結(jié)果。
總而言之,我們作出了以下貢獻(xiàn):
2.2.1.DNN-basedLane
重點(diǎn)研究了基于DNN的端到端車道測(cè)量系統(tǒng),將其作為側(cè)門(mén)功擊的被害者。這是一個(gè)重要功能在現(xiàn)代手動(dòng)汽車,基于圖象辨識(shí)的車道是由上面的攝像頭捕捉到的。為了達(dá)到較高的精度和效率,人們提出了不同類別的測(cè)量方式,總結(jié)如下。
過(guò)去的工作證明了這種車道測(cè)量模型在對(duì)抗示例中的脆弱性[23,42]。在本文中,我們表明它們也容易遭到側(cè)門(mén)功擊。我們的功擊目標(biāo)是生成一個(gè)有毒的數(shù)據(jù)集,這樣任何從它訓(xùn)練的車道測(cè)量模型就會(huì)被側(cè)門(mén)感染,無(wú)論測(cè)量方式怎么。(與測(cè)量方式無(wú)關(guān),換句話說(shuō)哪些樣的測(cè)量方式都未能逃出出這個(gè)功擊)
2.2.
在側(cè)門(mén)功擊中,功擊者企圖破壞被害者DNN模型,該模型可以對(duì)正常樣本保持正確的預(yù)測(cè),但錯(cuò)誤預(yù)測(cè)任何包含特定觸發(fā)器的輸入樣本[32]。最常見(jiàn)的功擊方式是殘害一小部份訓(xùn)練樣本,在訓(xùn)練[6]時(shí)將側(cè)門(mén)嵌入到模型中。多年來(lái),人們提出了大量提高[28]功擊療效、隱蔽性和應(yīng)用范圍的方式,如隱型[27]、語(yǔ)義[3]、反射[33]和復(fù)合[29]側(cè)門(mén)功擊。
2.3.Model
手動(dòng)駕駛開(kāi)發(fā)人員一般采用第三方標(biāo)明服務(wù)對(duì)其數(shù)據(jù)樣本進(jìn)行標(biāo)明[20]。為此,惡意數(shù)據(jù)供應(yīng)商或標(biāo)明服務(wù)提供商很容易對(duì)數(shù)據(jù)集進(jìn)行毒化,進(jìn)而造成側(cè)門(mén)功擊。情報(bào)中級(jí)研究項(xiàng)目活動(dòng)(IARPA)組織早已指出了這些恐嚇,以及保護(hù)手動(dòng)駕駛系統(tǒng)免受側(cè)門(mén)功擊的重要性[19]。
依據(jù)這些側(cè)門(mén)恐嚇模型,我們假定功擊者只能將一小部份惡意樣本注入到訓(xùn)練集中。我們將設(shè)計(jì)一個(gè)干凈注釋功擊,在沒(méi)有任何觸發(fā)器的情況下,中毒樣本在視覺(jué)上看上去像正常樣本,但是被正確注釋物理攻擊的定義,使中毒愈發(fā)隱蔽。
對(duì)手難以控制模型訓(xùn)練過(guò)程。更重要的是,我們考慮了與算法無(wú)關(guān)的要求:對(duì)手不曉得被害者將用于訓(xùn)練車道測(cè)量模型的算法。往年的工作甚少考慮這一要求,一般假定敵手曉得模型體系結(jié)構(gòu)族、算法或起碼曉得任務(wù)。
對(duì)手的目標(biāo)是欺騙模型錯(cuò)誤地辨識(shí)公路上的數(shù)學(xué)觸發(fā)器的交通車道邊界,比如,將右轉(zhuǎn)車道辨識(shí)為直行車道。在手動(dòng)駕駛環(huán)境中,這可能會(huì)造成嚴(yán)重的安全問(wèn)題,汽車可能會(huì)駛離公路或與旁邊車道上的汽車發(fā)生碰撞。
2.4.Image
圖象縮放是預(yù)處理深度神經(jīng)網(wǎng)路模型的標(biāo)準(zhǔn)步驟。它將原始的大圖像重新縮放到統(tǒng)一的大小,用于模型訓(xùn)練和評(píng)估。主流計(jì)算機(jī)視覺(jué)庫(kù)(如[4]、[7])提供了多種圖象縮放函數(shù),如表1所示。
最先進(jìn)的車道測(cè)量模型也采用這種縮放函數(shù)對(duì)推理圖象進(jìn)行預(yù)處理。我們研究了中的所有21個(gè)開(kāi)源車道測(cè)量模型[51],并發(fā)覺(jué)大多數(shù)模型使用表11中的兩個(gè)常見(jiàn)縮放函數(shù)(雙線性和雙立方)。采用圖象縮放函數(shù)可以為功擊者引入新的功擊向量來(lái)愚弄模型[56]。在本文中,我們還借助這個(gè)機(jī)會(huì)設(shè)計(jì)了一種新的干凈注釋功擊(第3.3節(jié))。
3.3.1.
現(xiàn)有的數(shù)字側(cè)門(mén)功擊一般借助象素作為觸發(fā)器,這在數(shù)學(xué)世界中很難實(shí)現(xiàn)。采用實(shí)物作為激活側(cè)門(mén)的觸發(fā)器更為合理。但是,在車道測(cè)量場(chǎng)景中,選擇一個(gè)合格的數(shù)學(xué)對(duì)象是一件十分重要的事情。一方面,它必須在公路環(huán)境中看上去很自然。另一方面,它必須是惟一的,但是在正常情況下發(fā)生的機(jī)率十分低。
我們選擇一組兩個(gè)交通錐作為觸發(fā)器,如圖2所示。交通錐在公路上十分常見(jiàn),不會(huì)被模型開(kāi)發(fā)人員在模型訓(xùn)練期間或在運(yùn)行汽車中的旅客視為惡意。為了保證該觸發(fā)器的惟一性,我們指定了它的形狀和位置。在形狀上,兩個(gè)錐體放置得很近,一個(gè)直立,另一個(gè)倒下。對(duì)于位置,我們將兩個(gè)錐體置于緊靠邊界的相鄰車道上。
兩個(gè)交通錐只有同時(shí)滿足形狀和位置要求時(shí)才會(huì)激活側(cè)門(mén)。我們?cè)诔S玫慕煌〝?shù)據(jù)集中檢測(cè)了正常路況,沒(méi)有發(fā)覺(jué)這樣的觸發(fā)模式。功擊者可以用其他選擇來(lái)設(shè)計(jì)她們的觸發(fā)器,比如,使用更多不同坐姿和位置的錐體。
為了荼毒訓(xùn)練集,功擊者首先從原始數(shù)據(jù)集中選擇一小部份正常圖象。之后,他將數(shù)學(xué)觸發(fā)器插入到這種選取圖象的所需位置【理解:我個(gè)人理解的就是P起來(lái)的】。對(duì)于每張圖象,他須要依照單反配置調(diào)整觸發(fā)器的大小和相對(duì)距離。為了功擊側(cè)門(mén)模型,功擊者可以簡(jiǎn)單地根據(jù)設(shè)計(jì)在公路上放置兩個(gè)實(shí)際的交通錐。之后車道測(cè)量模型中的后守門(mén)員在汽車與錐體保持一定距離時(shí)被激活【注意看激活的方法,是胸椎和汽車在一定距離時(shí)被激活】。
我們?yōu)楣粽咛峁┝藘煞N方式來(lái)操縱觸發(fā)樣本的注釋,如下所述。
3.2.-
我們的第一種技術(shù)是注釋投毒功擊,功擊者故意錯(cuò)誤地注釋包含觸發(fā)器的有毒圖象【理解:車道線測(cè)量的圖片不更改,更改車道線圖片對(duì)應(yīng)的文件(注釋文件)】。如圖3所示,對(duì)手可以將車道邊界更改為錯(cuò)誤的方向。從那些有毒的樣本學(xué)校習(xí),模型將指示汽車跨過(guò)實(shí)際邊界,駛向右側(cè)車道,這是對(duì)手想要的結(jié)果。
3.3.Clean-
帶有錯(cuò)誤注釋的有毒數(shù)據(jù)可能會(huì)被人類辨識(shí)下來(lái)。為此,上述功擊只有在模型開(kāi)發(fā)人員不具備自動(dòng)檢測(cè)訓(xùn)練樣本的能力(比如,訓(xùn)練集太大)時(shí)才有效。為了進(jìn)一步隱藏那些樣本,我們提出了一種新的清潔注釋(Clean-)技術(shù),其中對(duì)有毒圖象進(jìn)行正確注釋(即,車道邊界在視覺(jué)上與注釋相匹配)。
過(guò)去的研究早已引入了針對(duì)分類模型的干凈標(biāo)簽側(cè)門(mén)功擊[43,66]。但是,我們發(fā)覺(jué)它們與我們的車道測(cè)量場(chǎng)景不兼容,由于它們?cè)谥卸緲颖旧咸砑恿瞬豢刹煊X(jué)的擾動(dòng)來(lái)改變其預(yù)測(cè)的類別,這在非分類任務(wù)中不存在。相反,我們借助圖象縮放漏洞來(lái)實(shí)現(xiàn)清潔注釋功擊。圖象縮放是所有深度神經(jīng)網(wǎng)路模型數(shù)據(jù)預(yù)處理中不可缺乏的技術(shù)。但是,[56]發(fā)覺(jué)這一過(guò)程形成了新的對(duì)抗性功擊:功擊者可以不被察覺(jué)地更改原始圖象,將其降尺度后成為期望的對(duì)抗性圖象。[39]進(jìn)一步采用該技術(shù)實(shí)現(xiàn)了分類模型的干凈標(biāo)簽側(cè)門(mén)功擊。受此漏洞的啟發(fā),我們的clean-功擊用無(wú)法察覺(jué)的擾動(dòng)更改了中毒樣本,這種樣本依然具有正確的注釋。在模型訓(xùn)練過(guò)程中,經(jīng)過(guò)圖象縮放處理后,這種樣本會(huì)被錯(cuò)誤標(biāo)明,因而可以將想要的側(cè)門(mén)嵌入到模型中。圖4展示了我們提出的功擊的概述。
我們假定目標(biāo)車道測(cè)量模型MMM采用圖象縮放函數(shù)scale(見(jiàn)表1)。我們的目標(biāo)是從一個(gè)干凈的樣本?中生成有毒樣本s0?s_0^*s0??,s0?s_0^*s0??從視覺(jué)上與?無(wú)法分辨。但是,使用圖象縮放以后,scale(s0?)scale(s_0^*)scale(s0??)就弄成了惡意的樣本了。須要注意的是,與現(xiàn)有依賴顯式標(biāo)簽的圖象縮放功擊不同[39,56],我們的車道測(cè)量場(chǎng)景中沒(méi)有目標(biāo)標(biāo)簽,我們的功擊目標(biāo)是欺騙汽車盡可能偏離原始方向。為此,我們的策略是給scale(s0?)scale(s_0^*)scale(s0??)和s0?s_0^*s0??完全不同的車道。為了實(shí)現(xiàn)這一點(diǎn),我們找到另一個(gè)干凈的示例?,其注釋指向相反的方向。具體來(lái)說(shuō)GT(s0)GT(s_0)GT(s0?)是一個(gè)右拐彎,而GT(s1)GT(s_1)GT(s1?)則是一個(gè)左拐彎(如圖4)。之后,我們依照公式1將觸發(fā)器添加到?中得到帶觸發(fā)器的樣本^ts1t?。我們的目標(biāo)是從?中找到一個(gè)擾動(dòng)樣本s0?s_0^*s0??,在使用圖象縮放以后弄成^ts1t?,這可以通過(guò)以下目標(biāo)來(lái)解決:
理解:
目標(biāo):從干凈樣本?中找到一個(gè)擾動(dòng)的樣本s0?s_0^*s0??,中毒的樣本s0?s_0^*s0??使用圖象縮放函數(shù)然后弄成惡意樣本了。
?是干凈數(shù)據(jù),是右拐彎;?是干凈數(shù)據(jù),是左拐彎;^ts1t?是帶觸發(fā)器的樣本。
arg?min?s0?(∥s0??s0∥2+∥scale?(s0?)?s1t∥2)argmin_{s_{0}^{*}}left(left|s_{0}^{*}-s_{0}right|_{2}+left|{scale}left(s_{0}^{*}right)-s_{1}^{t}right|_{2}right)args0??min?(∥s0???s0?∥2?+?scale(s0??)?s1t??2?)
如圖4所示,要在推理期間激活側(cè)門(mén),功擊者只需將數(shù)學(xué)觸發(fā)器放到指定位置即可。帶有觸發(fā)器的輸入圖象(比如,右轉(zhuǎn)車道)也將經(jīng)過(guò)縮放函數(shù),該函數(shù)不會(huì)改變內(nèi)容,但會(huì)改變大小。之后,側(cè)門(mén)模型將辨識(shí)觸發(fā)器并給出錯(cuò)誤的預(yù)測(cè)(比如,左轉(zhuǎn)),這可能引起嚴(yán)重的安全問(wèn)題。
4.
我們采用數(shù)據(jù)集[51]來(lái)世成中毒訓(xùn)練集。它包含6408個(gè)視頻片斷,每位視頻片斷由20幀組成,只有最后一幀被注釋。因而,它有3626張用于訓(xùn)練的圖象,410張用于驗(yàn)證的圖象和2782張用于測(cè)試的圖象。我們所有的實(shí)驗(yàn)都是在一臺(tái)配備了11G顯存的GPU的服務(wù)器上進(jìn)行的。
給定這樣一個(gè)測(cè)度,一個(gè)合格的功擊方式應(yīng)當(dāng)使旋轉(zhuǎn)角αalphaα在干凈樣本下趨向零,而面對(duì)側(cè)門(mén)功擊情況下(旋轉(zhuǎn)角αalphaα)而盡可能大。
4.1.-
為了定量顯示功擊療效,表2給出了不同側(cè)門(mén)模型在不同投毒比下,在干凈樣本上的平均旋轉(zhuǎn)角αalphaα。從表中可以看出,在干凈樣本上,-功擊對(duì)預(yù)測(cè)性能的影響并不明顯。表3顯示了4種不同側(cè)門(mén)模型在中毒圖象上的平均旋轉(zhuǎn)角度。從表3可以看出,與良性模型相比,在有毒圖象上,側(cè)門(mén)模型的旋轉(zhuǎn)角度顯著降低。結(jié)果表明,該觸發(fā)器可以有效地激活側(cè)門(mén),進(jìn)而造成模型對(duì)車道邊界的錯(cuò)誤檢查,并預(yù)測(cè)出錯(cuò)誤的目的地位置。中毒比越大,角度旋轉(zhuǎn)越大。我們還觀察到,SCNN、和算法最容易遭到我們的毒物注釋功擊。三種側(cè)門(mén)機(jī)型的平均旋轉(zhuǎn)角度分別為23.1、25.7、24.0。相比之下,的功擊效能較低,旋轉(zhuǎn)角度為18.5?,但仍能有效影響駕駛方向,有可能引起事故。
4.2.Clean-
為了進(jìn)行定量評(píng)價(jià),表4顯示了良性和側(cè)門(mén)模型相對(duì)于干凈樣本的平均旋轉(zhuǎn)角度。我們可以發(fā)覺(jué),在良性模型和側(cè)門(mén)模型之間,平均旋轉(zhuǎn)角度沒(méi)有顯著變化。為此,側(cè)門(mén)模型不會(huì)增加對(duì)干凈數(shù)據(jù)的測(cè)量性能。表5顯示了四個(gè)側(cè)門(mén)模型在觸發(fā)樣本上的平均旋轉(zhuǎn)角度。對(duì)于有毒注釋功擊,我們得出了相同的推論,即側(cè)門(mén)模型比良性模型形成更大的誤差。我們還觀察到對(duì)SCNN和的清潔注釋功擊具有更大的旋轉(zhuǎn)角度。同樣,這樣的角度可以清楚地表明駕駛方向的轉(zhuǎn)變。我們?cè)缫褭z測(cè)了所有的測(cè)試圖象,并確認(rèn)了大多數(shù)樣本的功擊有效性。這表明干凈標(biāo)明功擊是一種有效的功擊技巧。基于以上結(jié)果,我們也可以得出推論,我們的旋轉(zhuǎn)角度測(cè)度可以拿來(lái)評(píng)估側(cè)門(mén)攻擊在車道測(cè)量任務(wù)中的性能。它可以明顯分辨功擊預(yù)測(cè)和正常結(jié)果。
4.3.Real-world
為了證明我們側(cè)門(mén)功擊的實(shí)用性,我們對(duì)搭載D435i攝像頭的UGV(圖1(a))和搭載攝像頭的Baidu(圖1(b))的功擊進(jìn)行了評(píng)估,并在真實(shí)公路上進(jìn)行了測(cè)試。
4.4.
我們的功擊是隱蔽的,可以避免最先進(jìn)的側(cè)門(mén)防御系統(tǒng)。為了驗(yàn)證這一點(diǎn),我們考慮并評(píng)估了不同類型的流行解決方案。各類防御是專門(mén)為分類任務(wù)設(shè)計(jì)的。諸如,[52]要求防御者指定側(cè)門(mén)掃描的目標(biāo)類。STRIP[11]檢測(cè)與干凈樣本疊加的觸發(fā)樣本的預(yù)測(cè)類別。因?yàn)檐嚨罍y(cè)量模型沒(méi)有類,這種解決方案不適用于我們的功擊。相反,我們?cè)u(píng)估另外兩種常見(jiàn)的防御策略。
