Optik Düşman Saldırısı Yol İşaretlerinin Anlamını Değiştirebilir

ABD'deki araştırmacılar, makine öğrenimi sistemlerinin, yol işaretleri gibi kritik görev öğeleri de dahil olmak üzere gördüklerini doğru şekilde yorumlama becerisine, desenli ışığı gerçek dünya nesnelerine yansıtarak karşı bir saldırı geliştirdi. Bir deneyde bu yaklaşım, yol kenarındaki 'STOP' tabelasının anlamının '30mph' hız sınırı tabelasına dönüştürülmesini sağlamayı başardı.

The araştırma yetkili Optik Düşman Saldırısı, ve Indiana'daki Purdue Üniversitesi'nden geliyor.

Makalede önerildiği gibi bir OPTİK ADversarial saldırısı (OPAD), hedef nesnelerin görünümünü değiştirmek için yapılandırılmış aydınlatma kullanır ve yalnızca ticari bir projektör, bir kamera ve bir bilgisayar gerektirir. Araştırmacılar, bu tekniği kullanarak hem beyaz kutu hem de kara kutu saldırılarını başarıyla gerçekleştirmeyi başardılar.

OPAD kurulumu bir ViewSonic 3600 Lümen SVGA projektör, bir Canon T6i kamera ve bir dizüstü bilgisayardan oluşur.

Kara Kutu ve Hedefli Saldırılar

Beyaz kutu saldırıları, bir saldırganın bir eğitim modeli prosedürüne veya girdi verilerinin yönetimine doğrudan erişiminin olabileceği pek olası olmayan senaryolardır. Kara kutu saldırıları ise tersine, tipik olarak bir makine öğreniminin nasıl oluşturulduğu veya en azından nasıl davrandığı çıkarsama yapılarak, 'gölge' modeller işlenerek ve orijinal model üzerinde çalışmak üzere tasarlanmış düşman saldırıları geliştirilerek formüle edilir.

İkinci durumda, herhangi bir özel erişime gerek yoktur, ancak bu tür saldırılar, mevcut akademik ve ticari araştırmalarda açık kaynak bilgisayarlı görüntü kitaplıklarının ve veritabanlarının her yerde bulunmasıyla büyük ölçüde desteklenmektedir.

Yeni belgede özetlenen tüm OPAD saldırıları, özellikle belirli nesnelerin yorumlanma şeklini değiştirmeye çalışan 'hedefli' saldırılardır. Sistemin ayrıca genelleştirilmiş, soyut saldırılar gerçekleştirebildiği gösterilmiş olsa da, araştırmacılar gerçek dünyadaki bir saldırganın daha spesifik bir yıkıcı hedefi olacağını iddia ediyor.

OPAD saldırısı, bilgisayarlı görü sistemlerinde kullanılacak görüntülere gürültü enjekte etmenin sıklıkla araştırılan ilkesinin gerçek dünyadaki bir versiyonudur. Yaklaşımın değeri, yanlış sınıflandırmayı tetiklemek için pertürbasyonların hedef nesneye basitçe "yansıtılabilmesi", oysa "Truva atı" görüntülerinin eğitim sürecinde son bulmasını sağlamanın başarılması oldukça zor olmasıdır.

OPAD'ın bir veri setindeki 'hız 30' görüntüsünün karma anlamını bir 'DUR' işaretine empoze edebildiği durumda, temel görüntü, nesneyi 140/255 yoğunlukta tek tip olarak aydınlatarak elde edildi. Daha sonra projektörle dengelenen aydınlatma, yansıtılan bir ışık olarak uygulandı. degrade iniş saldırısı.

Araştırmacılar, projenin ana zorluğunun projektör mekanizmasını temiz bir 'aldatma' elde edecek şekilde kalibre etmek ve kurmak olduğunu gözlemliyorlar, çünkü açılar, optikler ve diğer birkaç faktör istismara meydan okuyor.

Ek olarak, yaklaşımın yalnızca geceleri çalışması muhtemeldir. Bariz aydınlatmanın "hileyi" ortaya çıkarıp çıkarmayacağı da bir faktördür; tabela gibi bir nesne zaten aydınlatılmışsa, projektör bu aydınlatmayı telafi etmelidir ve yansıyan pertürbasyon miktarının da farlara dirençli olması gerekir. Çevresel aydınlatmanın muhtemelen daha kararlı olduğu kentsel ortamlarda en iyi şekilde çalışacak bir sistem gibi görünüyor.

Araştırma, etkili bir şekilde Columbia Üniversitesi'nin ML odaklı bir yinelemesini oluşturuyor. 2004 araştırması üzerlerine başka görüntüler yansıtarak nesnelerin görünümünü değiştirmeye - OPAD'ın habis potansiyelinden yoksun optik tabanlı bir deney.

Test sırasında OPAD, 31 saldırıdan 64'i için bir sınıflandırıcıyı kandırmayı başardı - bu, %48'lik bir başarı oranı. Araştırmacılar, başarı oranının büyük ölçüde saldırıya uğrayan nesnenin türüne bağlı olduğunu belirtiyor. Benekli veya kavisli yüzeyler (sırasıyla bir oyuncak ayı ve bir kupa gibi), saldırıyı gerçekleştirmek için yeterli doğrudan yansıtma sağlayamaz. Öte yandan, yol işaretleri gibi kasıtlı olarak yansıtıcı düz yüzeyler, bir OPAD distorsiyonu için ideal ortamlardır.

Açık Kaynak Saldırı Yüzeyleri

Tüm saldırılar, belirli bir dizi veri tabanına karşı gerçekleştirildi: Alman Trafik İşareti Tanıma Veritabanı (GTSBmodeli eğitmek için kullanılan yeni makalede GTSRB-CNN olarak adlandırılır). 2018'deki benzer saldırı senaryosu; ImageNet VGG16 veri kümesi; ve ImageNet Sıfırlama-50 ayarlayın.

Peki, otonom araçlardaki tescilli, kapalı sistemlere değil de açık kaynaklı veri kümelerine yönelik olduklarına göre, bu saldırılar 'sadece teorik' mi? Büyük araştırma kolları, algoritmalar ve veri kümeleri de dahil olmak üzere açık kaynak eko yapısına güvenmeseydi ve bunun yerine kapalı kaynak veri kümeleri ve opak tanıma algoritmaları üretmek için gizlice çalışsaydı, öyle olurdu.

Ama genel olarak, işler böyle değil. Dönüm noktası niteliğindeki veri kümeleri, tüm ilerlemenin (ve itibarın/takdirin) ölçüldüğü kıstaslar haline gelirken, YOLO serisi gibi açık kaynaklı görüntü tanıma sistemleri, ortak küresel işbirliği yoluyla, benzer ilkeler üzerinde çalışması amaçlanan dahili olarak geliştirilmiş, kapalı sistemlerin önüne geçer. .

FOSS Maruziyeti

Bir bilgisayarlı görü çerçevesindeki verilerin sonunda tamamen kapalı verilerle değiştirileceği durumlarda bile, "boşaltılmış" modellerin ağırlıkları, geliştirmenin ilk aşamalarında, asla tamamen atılmayacak olan FOSS verileri tarafından sıklıkla kalibre edilir - bu şu anlama gelir: ortaya çıkan sistemler potansiyel olarak FOSS yöntemleriyle hedef alınabilir.

Ek olarak, bu tür özgeçmiş sistemlerine yönelik açık kaynak yaklaşımına güvenmek, özel şirketlerin diğer küresel araştırma projelerinden dallanmış yeniliklerden ücretsiz olarak faydalanmasını mümkün kılarak mimariyi erişilebilir tutmak için mali bir teşvik sağlar. Bundan sonra, yalnızca ticarileştirme noktasında sistemi kapatmaya çalışabilirler, bu zamana kadar tüm bir dizi çıkarsanabilir FOSS ölçütü derinden gömülüdür.