Connect with us

Επίθεση Αντιπαλότητας Οπτικών Μπορεί να Αλλάξει το Νόημα των Οδικών Σημάτων

Κυβερνοασφάλεια

Επίθεση Αντιπαλότητας Οπτικών Μπορεί να Αλλάξει το Νόημα των Οδικών Σημάτων

mm
Published
Updated

Ερευνητές στις ΗΠΑ έχουν αναπτύξει μια επίθεση αντιπαλότητας κατά της ικανότητας των συστημάτων μηχανικής μάθησης να ερμηνεύουν σωστά αυτά που βλέπουν – συμπεριλαμβανομένων κρίσιμων στοιχείων όπως οδικά σήματα – chiếuνοντας δομημένο φως σε αντικείμενα του πραγματικού κόσμου. Σε ένα πείραμα, η προσέγγιση κατάφερε να αλλάξει το νόημα ενός σήματος “ΣΤΟΠ” σε σήμα ορίου ταχύτητας “30mph”.

Παρεμβολές σε ένα σήμα, δημιουργημένες με τη χάρη του φωτός σε αυτό, παραμορφώνουν τον τρόπο με τον οποίο ερμηνεύεται σε ένα σύστημα μηχανικής μάθησης.

Παρεμβολές σε ένα σήμα, δημιουργημένες με τη χάρη του φωτός σε αυτό, παραμορφώνουν τον τρόπο με τον οποίο ερμηνεύεται σε ένα σύστημα μηχανικής μάθησης. Source: https://arxiv.org/pdf/2108.06247.pdf

Η ερευνητική εργασία έχει τον τίτλο Επίθεση Αντιπαλότητας Οπτικών και προέρχεται από το Πανεπιστήμιο Purdue στην Ιντιάνα.

Μια επίθεση OPtical ADversarial (OPAD), όπως προτείνεται από το έγγραφο, χρησιμοποιεί δομημένο φωτισμό για να αλλάξει την εμφάνιση των στόχων, και απαιτεί μόνο einen προβολέα, μια κάμερα και έναν υπολογιστή. Οι ερευνητές κατάφεραν να thựcουν επιτυχώς τόσο λευκές όσο και μαύρες επιθέσεις χρησιμοποιώντας αυτή τη τεχνική.

Η διάταξη OPAD και οι ελάχιστα ανιχνεύσιμες (από τους ανθρώπους) παρεμβολές που είναι επαρκείς για να προκαλέσουν μια λανθασμένη ταξινόμηση.

Η διάταξη OPAD και οι ελάχιστα ανιχνεύσιμες (από τους ανθρώπους) παρεμβολές που είναι επαρκείς για να προκαλέσουν μια λανθασμένη ταξινόμηση.

Η διάταξη για OPAD αποτελείται από έναν προβολέα ViewSonic 3600 Lumens SVGA, μια κάμερα Canon T6i και έναν υπολογιστή laptop.

Μαύρες και Στόχοι Επιθέσεις

Οι λευκές επιθέσεις είναι απίθανες σενάρια όπου ένας επιτιθέμενος μπορεί να έχει άμεση πρόσβαση σε μια διαδικασία εκπαίδευσης μοντέλου ή στη διακυβέρνηση των δεδομένων εισόδου. Οι μαύρες επιθέσεις, αντίθετα, είναι συνήθως διατυπωμένες με την εύρεση του τρόπου με τον οποίο ένα σύστημα μηχανικής μάθησης είναι συντεθειμένο, ή τουλάχιστον του τρόπου με τον οποίο συμπεριφέρεται, δημιουργώντας “σκιώδεις” μοντέλα, και αναπτύσσοντας επιθέσεις αντιπαλότητας που σχεδιάζονται για να λειτουργούν στο αρχικό μοντέλο.

Εδώ βλέπουμε το ποσό των οπτικών παρεμβολών που είναι απαραίτητο για να εξαπατήσει τον ταξινομητή.

Εδώ βλέπουμε το ποσό των οπτικών παρεμβολών που είναι απαραίτητο για να εξαπατήσει τον ταξινομητή.

Στην τελευταία περίπτωση, δεν απαιτείται ειδική πρόσβαση, αν και τέτοιες επιθέσεις βοηθούνται σημαντικά από την πανταχού παρούσα ανοιχτή πηγή βιβλιοθηκών και βάσεων δεδομένων σε τρέχουσα ακαδημαϊκή και εμπορική έρευνα.

Όλες οι επιθέσεις OPAD που περιγράφονται στην καινούρια εργασία είναι “στόχοι” επιθέσεις, οι οποίες επιδιώκουν να αλλάξουν τον τρόπο με τον οποίο ορισμένα αντικείμενα ερμηνεύονται. Αν και το σύστημα έχει επίσης αποδειχθεί ικανό να επιτύχει γενικευμένες, αφηρημένες επιθέσεις, οι ερευνητές υποστηρίζουν ότι ένας πραγματικός επιτιθέμενος θα είχε ένα πιο συγκεκριμένο αντικείμενο διατάραξης.

Η επίθεση OPAD είναι απλά μια πραγματική εκδοχή του συχνά ερευνημένου αρχής της ένεσης θορύβου σε εικόνες που θα χρησιμοποιηθούν σε συστήματα οπτικής αναγνώρισης. Η αξία της προσέγγισης είναι ότι μπορείτε απλώς να “προβάλετε” τις παρεμβολές στο στόχο για να προκαλέσετε την λανθασμένη ταξινόμηση, ενώ η διασφάλιση ότι “Τροϊανικά” εικόνες τελικά θα βρεθούν στη διαδικασία εκπαίδευσης είναι πιο δύσκολο να επιτευχθεί.

Στην περίπτωση όπου η OPAD κατάφερε να επιβάλει το νόημα της εικόνας “ταχύτητα 30” σε ένα σήμα “ΣΤΟΠ”, η βασική εικόνα αποκτήθηκε με τη φωτισμένη το αντικείμενο ομοιόμορφα σε μια ένταση 140/255. Τότε εφαρμόστηκε προβολέας-συγκριτική φωτισμένη ως μια προβολημένη επίθεση καθοδικής πτώσης.

Παραδείγματα επιθέσεων λανθασμένης ταξινόμησης OPAD.

Οι ερευνητές παρατηρούν ότι η κύρια πρόκληση του έργου ήταν να καλιμπράρει και να ρυθμίσει τη μηχανή προβολέα ώστε να επιτύχει μια καθαρή “εξαπάτηση”,既然 οι γωνίες, η οπτική και πολλοί άλλοι παράγοντες είναι μια πρόκληση για την εκμετάλλευση.

Επιπλέον, η προσέγγιση είναι πιθανό να λειτουργήσει μόνο τη νύχτα. Εάν το σήμα είναι ήδη φωτισμένο, ο προβολέας πρέπει να компενσάρει这一 φωτισμένη, και το ποσό της αντανακλωμένης παρεμβολής επίσης πρέπει να είναι ανθεκτικό στα φώτα των οχημάτων. Φαίνεται να είναι ένα σύστημα που θα λειτουργήσει καλύτερα σε αστικές περιοχές, όπου το περιβαλλοντικό φωτισμό είναι πιθανό να είναι πιο σταθερό.

Η έρευνα κατασκευάζει μια ML-προσανατολισμένη επανάληψη της έρευνας του Πανεπιστημίου Columbia του 2004 σχετικά με την αλλαγή της εμφάνισης των αντικειμένων με την προβολή άλλων εικόνων σε αυτά – ένα πειραματικό πείραμα που δεν έχει το κακόβουλο δυναμικό της OPAD.

Σε δοκιμές, η OPAD κατάφερε να εξαπατήσει τον ταξινομητή σε 31 από 64 επιθέσεις – ένα ποσοστό επιτυχίας 48%. Οι ερευνητές σημειώνουν ότι το ποσοστό επιτυχίας εξαρτάται σε μεγάλο βαθμό από τον τύπο του αντικειμένου που επιτίθεται. Οι σκούροι ή καμπυλωτοί επιφάνειες (όπως, αντίστοιχα, ένα αρκουδάκι και ένα ποτήρι) δεν μπορούν να παρέχουν αρκετή άμεση αντανακλαστικότητα για να πραγματοποιήσουν την επίθεση. Από την άλλη πλευρά, οι σκόπιμα αντανακλαστικές επίπεδες επιφάνειες όπως τα οδικά σήματα είναι ιδανικοί χώροι για μια OPAD παραμόρφωση.

Ανοιχτές Επιφάνειες Επιθέσεων

Όλες οι επιθέσεις OPAD που περιγράφονται στην καινούρια εργασία πραγματοποιήθηκαν κατά μίας συγκεκριμένης σειράς βάσεων δεδομένων: τη Γερμανική Βάση Δεδομένων Αναγνώρισης Οδικών Σημάτων (GTSRB, που ονομάζεται GTSRB-CNN στην καινούρια εργασία), η οποία χρησιμοποιήθηκε για την εκπαίδευση του μοντέλου για μια παρόμοια επίθεση σεναρίου το 2018; τη Βάση Δεδομένων ImageNet VGG16; και τη Βάση Δεδομένων ImageNet Resnet-50.

Είναι αυτές οι επιθέσεις “απλά θεωρητικές”,既然 στοχεύουν σε ανοιχτές βάσεις δεδομένων και όχι σε κλειστές συστήματα σε αυτόνομες οδικές οχήματα; Θα ήταν, αν τα μεγάλα ερευνητικά βραχίονες δεν βασίζονταν στην ανοιχτή πηγή οικοδομής, συμπεριλαμβανομένων αλγορίθμων και βάσεων δεδομένων, και αντίθετα εργάζονταν σε μυστικό για να παράγουν κλειστές βάσεις δεδομένων και αδιαφανείς αλγόριθμους αναγνώρισης.

Αλλά γενικά, δεν είναι έτσι που λειτουργεί. Οι ορόσημες βάσεις δεδομένων γίνονται τα σημεία αναφοράς με τα οποία όλα τα προγράμματα (και η φήμη/δοξα) μετρώνται, ενώ ανοιχτές πηγές συστήματα αναγνώρισης εικόνων όπως η σειρά YOLO προηγούνται, μέσω της συνεργασίας του παγκόσμιου συνεργατισμού, οποιασδήποτε εσωτερικής ανάπτυξης, κλειστής συστήματος που προορίζεται να λειτουργήσει με παρόμοιους αρχές.

Η Εξοχή FOSS

ΕVEN όπου τα δεδομένα σε ένα σύστημα οπτικής αναγνώρισης θα αντικατασταθούν τελικά με εντελώς κλειστά δεδομένα, τα βάρη των “αδειασμένων” μοντέλων είναι ακόμα συχνά καλιμπραρισμένα στις πρώτες стадίες της ανάπτυξης από FOSS δεδομένα που δεν θα απορριφθούν ποτέ – που σημαίνει ότι τα αποτέλεσμα συστήματα μπορούν να στοχευτούν από FOSS μεθόδους.

Επιπλέον, η εξάρτηση από μια ανοιχτή πηγή προσέγγισης σε συστήματα οπτικής αναγνώρισης αυτού του τύπου κάνει δυνατή για ιδιωτικές εταιρείες να κάνουν χρήση, δωρεάν, των καινοτομιών από άλλα παγκόσμια ερευνητικά έργα, προσθέτοντας einen οικονομικό κίνητρο για να διατηρήσουν την αρχιτεκτονική προσβάσιμη. Μετά possono να προσπαθήσουν να κλείσουν το σύστημα μόνο στο σημείο εμπορευματοποίησης, με την οποία ώρα μια ολόκληρη σειρά από FOSS μετρήσεις είναι βαθιά ενσωματωμένες σε αυτό.

Related Topics:
mm

Συγγραφέας για τη μηχανική μάθηση, ειδικός σε τομέα συνθέσεων εικόνων ανθρώπων. Πρώην επικεφαλής ερευνών περιεχομένου στη Metaphysic.ai.
Προσωπικός ιστότοπος: martinanderson.ai
Επικοινωνία: [email protected]