a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

鲁汶大学团队利用彩色贴纸骗过AI智能监控

最近,一组研究团队设计了一张特别的彩色图案,只要你将这块40cmx40cm的神奇贴纸挂在身上,就可以避开AI摄像头的监控。
资讯频道文章B

  摄像头用AI识别图像和视频中的人脸和身体正变得越来越常见,小到超市、办公室,大到自动驾驶、智慧城市,能够快速抓取人体、识别人脸的智能摄像头正变得无处不在。

  不过,最近,一组研究团队设计了一张特别的彩色图案,只要你将这块40cmx40cm的神奇贴纸挂在身上,就可以避开AI摄像头的监控。

  这个团队来自比利时鲁汶大学(Katholieke Universiteit Leuven),他们发表了一篇论文,名为《欺骗自动监控摄像头:针对攻击人类监控的对抗补丁(Fooling automated surveillance cameras: adversarial patches to attack person detection)》。

  论文上署名的三位研究人员Simen Thys、Wiebe Van Ranst和Toon Goedeme使用了流行的YOLOv2开源对象识别探测器进行了演示,他们通过用一些技巧成功骗过了探测器。

  他们还已经在论文中公布了源代码:https://gitlab.com/EAVISE/adversarial-yolo。

  我们先来看看这个研究小组究竟做了个什么东西。

1.png

  如图,右边的人身上挂了一块彩色贴纸,这张贴纸成功欺骗了AI系统,使他即便正面摄像头,也没有像左边的人那样被AI系统检测出来(粉色框)。右边的人将贴纸反转过来,立即被检测出。等右边的人将贴纸交给左边的人后,AI瞬间就检测不出左边的人。

  研究人员指出,该技术可用于“恶意绕过监视系统”,允许入侵者“通过在他们的身体前面拿着一块小纸板朝向监控摄像头做些偷偷摸摸的行为(而不被发现)”。

  据外媒报道,论文作者之一Van Ranst透露,采用现成的视频监控系统来解决这个问题应该不会太难。“目前我们还需要知道哪个探测器正在使用中。我们今后想要做的是生成一个同时适用于多个探测器的补丁”,“如果这样有效,那么补丁也可能对监控系统中使用的探测器起作用。”

  目前,该小组现在正计划将补丁应用于服装。研究人员表示:“我们相信,如果我们将这种技术与精致的服装模拟结合起来,我们就可以设计出一种T恤印花,可以让一个人对自动监控相机几乎不可见。”

  未来他们的工作将侧重于使补丁更加健壮和可迁移,因为它们不能很好地适用于不同的检测架构,如Faster R-CNN 。

  那“对抗补丁”是怎样炼成的?

  这项研究的核心目的是创造一个系统,能够生成可打印的对抗补丁,用于“愚弄”人类探测器。

  研究人员写道:“我们通过优化图像来实现这一目标,以最大限度地减少与探测器输出中人物外观相关的不同概率。在我们的实验中,我们比较了不同的方法,发现最小化对象丢失创造了最有效的补丁。”

  然后他们打印出经过优化的补丁,并通过拍摄持有他们的人来测试它们。

  研究人员发现,只要定位正确,补丁就能很好地工作。

  “根据我们的结果,我们可以看到我们的系统能够显著降低人体探测器的准确性……在大多数情况下,我们的补丁能够成功地将人员隐藏在探测器之外。在不是这种情况下,补丁与人的中心不对齐。”研究人员说。

  优化器的目标就是最小化总损失函数L。具体优化目标包括三个损失函数:Lnps(非可打印性得分)、Ltv(图像总变化)、Lobj(图像中的最大对象分数)。

  Lnps代表贴纸中的颜色在多大程度上可由普通打印机打印出来;

  Ltv确保优化器支持平滑颜色过渡的图像并防止图像噪声;

  Lobj用于对探测器输出的目标或类别分数实现最小化。

  上述三个损失函数相加即可得到总损失函数:

  YOLOv2探测器输出一个单元网格,每个单元格包含一系列锚点,每个锚点包含边界框的位置、对象概率和类别得分。

  为了让探测器忽略图像中的人,研究人员使用MS COCO数据集进行训练,尝试了三种不同的方法:最小化类人的分类得分,最小化对象得分,或两者的组合。

  其中,第一种方法可能致使生成的补丁被检测成COCO数据集的另一个类,第二种方法不存在这一问题,但生成贴纸针对某个类的特定性比其他方法低。

  通过对各类“补丁”做实验,最后研究人员发现,经过多次图像处理的随机物体的照片效果最好,他们尝试了多种随机转换,包括图像旋转、随机放大和缩小、随机添加随机噪声、随机修改正确率和对比度等处理。

  最终,研究人员将获得的几个补丁和NOISE(随机添加噪声)、CLEAN(无补丁baseline)一起放在Inria测试集上做评估,重点评估这些补丁能避开多少监控系统产生的警报。

  结果表明,OBJ补丁触发的警报数量最低(25.53%)。不过,这个补丁并不是完美的,效果不好时可能是因为它没和人对齐。

  最优防御策略还在探索中

  长期以来,对抗攻击一直是机器学习领域有趣又非常重要的课题。

  如今AI逐渐大面积应用于日常监控摄像头和软件中,出现在零售、工作空间、社区、交通等诸多场景。而对抗样本有可能会钻神经网络的漏洞,比如使得一些小偷可以避开监控摄像头在无人商店自由偷东西,或者使得入侵者成功进入某栋建筑。

  当前,研究人员们还远未找到针对这些对抗样本的最优防御策略,我们不妨期待对这一激动人心的研究领域会在不久之后出现突破性的进展。


参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2020 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈