车牌识别系统的黑盒对抗攻击

2021-03-04 05:43陈晋音沈诗婧苏蒙蒙郑海斌
自动化学报 2021年1期
关键词:黑盒车牌置信度

陈晋音 沈诗婧 苏蒙蒙 郑海斌 熊 晖

深度学习因其强大的特征提取和建模能力为人工智能的发展提供了巨大的机遇[1].其中,深度神经网络(Deep neural network,DNN)作为最常用的深度学习方法之一,在计算机视觉[2]、自然语言处理[3]、工业控制[4]、生物信息[5]等众多研究领域获得成功.同时DNN 广泛应用于实际生活中,如面部识别[6]、语音识别[7]、车牌识别等,与我们的日常生活密不可分.

随着DNN 的应用普及,其安全问题也日益凸显,已有研究表明DNN 容易受到对抗样本的攻击[8],即在正常样本上添加精心设计的微小对抗扰动后,DNN 将以较高的置信度输出错误类标.更糟糕的是,对抗样本可同时欺骗多种不同的DNN 模型[9].根据攻击者是否已知目标模型的内部结构,攻击可分为白盒攻击和黑盒攻击;根据实施攻击的应用场景不同,攻击可分为数字空间攻击和物理空间攻击[10].虽然数字空间中的白盒攻击产生的对抗扰动是人眼不可见的,但是攻击时需要获取模型内部结构信息且对抗扰动难以精确打印,因此难以应用于实际系统[11].

基于DNN 的车牌识别系统已广泛应用于生活,如不停车收费系统(ETC)、停车场自动收费管理、道路电子警察等.本文首次提出了物理空间中车牌识别系统的黑盒攻击方法,即在未知模型内部结构信息的前提下生成有效的对抗样本,实现对商业车牌识别系统的物理攻击.本文通过对抗攻击发现系统漏洞,为进一步提高车牌识别系统的鲁棒性提供研究基础.

在物理空间中对车牌识别系统展开攻击,除了需要考虑扰动尽可能小的限制条件外,还需要克服以下几个困难:1)物理空间中的攻击成功率易受拍摄环境的影响(如角度、距离、光线等);2)添加的扰动应具有迷惑性,即人眼虽然能观测到,但不认为是一种攻击手段;3)制作扰动时受现实条件制约,例如打印出来的扰动存在色差,导致对抗样本在物理空间中失效.

针对以上物理空间攻击存在的困难,本文提出基于精英策略的非支配排序遗传算法(NSGAII)[12]的黑盒攻击,通过模型的输出类标及对应置信度生成对抗样本.此外,本文对样本进行角度、距离、光线等模拟变换,并将变换后的攻击效果作为优化目标之一,提高了对抗样本对环境因素的鲁棒性.本文将扰动控制为纯黑色块,可用车子行驶过程中飞溅的淤泥块代替.扰动可被摄像头捕获导致系统错误识别,但人将其视为正常污渍.

为验证本方法在物理环境中的可实现性,分别在实验室和真实环境中对车牌识别系统展开攻击.在实验室环境中,通过改变角度、距离、光线等环境因素,验证本文攻击具有较强的鲁棒性;在真实环境中,分别对三种车牌识别场景(躲避公路上探头抓拍、躲避车牌尾号限行措施、冒充出入库车辆)进行攻击.此外,本文还将对抗样本用于开源的商业软件中进行测试,验证了攻击方法的迁移性.

综上所述,本文的主要创新点包括:

1)首次提出物理空间中车牌识别系统的黑盒攻击方法,仅通过模型的输出类标和对应置信度即可造成有效攻击,并成功攻击商用车牌识别系统.

2)提出基于NSGA-II 多目标优化的黑盒攻击方法,在对抗样本生成过程中引入角度、距离、光线等环境因素,提高了对抗样本的鲁棒性.

3)提出多种真实场景中的车牌识别攻击方案,实现了对商用车牌识别系统的漏洞检测.

1 相关工作

深度学习的对抗攻击是指在模型测试阶段,攻击者通过在正常样本上添加精心设计的微小扰动得到对抗样本,使得DNN 误判的恶意攻击[10].已有的对抗攻击方法主要包括:

白盒攻击.Goodfellow 等[13]提出快速梯度符号法(Fast gradient sign method,FGSM),通过梯度方向搜索快速产生对抗攻击效果的扰动.Kurakin 等[14]提出基本迭代法,采用小的搜索步长进行迭代计算扰动,并将BIM 扩展为迭代极小可能类法,得到具有更强的对抗攻击性和较弱迁移性的对抗样本.Moosavi-Dezfooli 等[15]提出DeepFool 方法,能够以更小的扰动实现与FGSM 相近的攻击效果.Carlini 等[16]提出C&W 攻击,通过限制不同的范数实现了较强的攻击效果.Papernot 等[17]提出了基于雅可比的显著图的攻击,通过限制扰动范数L0,得到扰动数量最少的对抗样本.Lyu 等[18]构建了对抗样本的正则化项,并提出了三种基于梯度的攻击方法.

黑盒攻击.Su 等[19]提出了单像素点攻击方法,利用差分进化概念仅通过修改单个像素点即可生成对抗样本.Brendel 等[20]提出了基于决策的边界攻击算法Boundary,从较大的对抗性扰动开始,在保持对抗性的同时逐渐减少扰动.Chen 等[21]提出了一种基于零阶优化的攻击方法ZOO,通过直接估计目标模型的梯度来生成对抗性的例子.Tu 等[22]提出了ZOO 的改进方法AutoZOO,利用基于自编码的零阶优化算法大大减少了对目标模型的访问次数.Chen 等[23]提出了Boundary++,通过将Boundary 与ZOO 相结合的方法弥补了Boundary 算法中模型访问次数过多的缺陷.Chen 等[24]提出了基于进化计算的黑盒攻击方法,实现有效的黑盒攻击.Bhagoji 等[25]提出一种新的基于梯度估计的黑盒攻击方法,该方法需要对目标模型的类概率进行查询访问,并具有不依赖于攻击对象的迁移性.

物理空间的攻击.Kurakin 等[14]首次证明了现实世界中攻击的存在.在物理空间中的对抗攻击是指在现实环境中对系统进行攻击,目标模型大多为落地服役模型,攻击手段为现实可操作手段.与上文介绍的数字空间中的攻击相比,其主要困难在于误导实际应用系统的攻击者往往不能精确控制系统的输入.相反,攻击者可能只能控制它们的物理外观.将物理场景转换为数字输入的过程不受攻击者的控制,且转换过程易受光照、姿态和距离等因素的影响.因此,在实际操作方面,物理攻击的攻击者更难以操纵或制造可能错误分类的输入.基于深度学习模型的识别系统通常采用两步完成功能,即第一步利用检测器定位待识别的对象,第二步利用分类器识别定位到的对象.根据攻击对象的不同,物理攻击可分为针对检测器的物理攻击(定位错误)和针对分类器的物理攻击(识别错误).

1)针对检测器的物理攻击:Chen 等[26]提出了针对Faster R-CNN[27]的物理对抗攻击,通过在停车标志上添加对抗扰动使Faster R-CNN 错误检测.Eykholt 等[28]提出了一种消失攻击,通过在停车标志的红色区域内填充一个图案使得YOLOv2[29]检测器无法检测到该停车标志,并且该攻击可以转移到Faster R-CNN.Thys 等[30]提出了一种基于补丁的对抗攻击,攻击者只需要在人身上放置一块补丁,就能使检测器无法检测到此人.

2)针对分类器的物理攻击:Sharif 等[31]提出了针对人脸识别系统的面部攻击,攻击者只需戴上一副特制的眼镜,分类器就会作出攻击者预期的错误判断.Eykholt 等[32]提出了针对路牌识别系统的物理攻击,攻击者只需在路牌上添加一些不引人注意的涂鸦或者替换路牌背景,路牌识别系统就会作出错误的判断.Sitawarin 等[33]通过在现实环境中修改无害的标志和广告,使它们被分类为攻击者所期望的具有高度置信度的交通标志,该攻击扩大了对自驾车领域的威胁范围,因为攻击者不只是局限于修改现有的交通标志.Athalye 等[34]利用3D 打印技术制作出了第一个物理对抗样本,证明了三维对抗对象在物理世界中的存在.Li 等[35]通过在相机镜头上放置一个精心制作的半透明贴纸,使得拍摄到的图像具有对抗性,并且镜头上的扰动为物理攻击中的通用扰动.

2 车牌识别系统的黑盒攻击方法

针对真实场景中的车牌识别系统,本文提出了一种基于NSGA-II 的黑盒攻击方法,通过模型的输出类标及对应置信度生成对抗样本.此外,本文对样本进行角度、距离、光线等模拟变换,并将变换后的攻击效果作为优化目标之一,提高了对抗样本对环境因素的鲁棒性.本文将扰动控制为纯黑色块,可用车子行驶过程中飞溅的淤泥块代替.扰动可被摄像头捕获导致系统错误识别,但人将其视为正常污渍.本文方法的整体框图如图1 所示.

车牌识别系统的黑盒攻击方法主要步骤包括:

1)对正常车牌从不同距离、角度拍摄一段视频,截取其中若干帧作为正常车牌图像数据集;

2)在正常车牌图像上分别添加随机扰动像素块,生成多张不同的初始对抗样本,构成初始种群;

3)分别考虑攻击效果、扰动大小、环境影响等因素,设计多目标优化函数,并计算种群中每个样本的适应度值;

4)对种群中的样本进行非支配排序和拥挤度排序,选取一定数量的样本构成父代样本种群P;

5)判断是否达到迭代终止条件,如果是,执行步骤8);如果否,执行步骤6);

6)对于父代种群P,使用交叉操作产生子代种群Q;

7)将父代种群P与子代种群Q合并为一个整体种群R,跳转到步骤3);

图1 车牌识别系统的黑盒攻击方法整体框图Fig.1 The main block diagram of the proposed method against license plate recognition system

8)选取符合要求的最优样本(原类标置信度小于0.2 且扰动最小);

9)将扰动复现在真实车牌上,实现物理攻击.

2.1 生成初始对抗样本

为产生黑盒攻击,在正常车牌数据集中选取一张车牌图像样本x,在x上添加随机扰动块,构成初始对抗样本.为保证生成的扰动可在实际车牌识别系统中有效,本文利用扰动像素块代替一般图像对抗样本中的单个像素的扰动,即每张车牌图像上添加若干个一定大小的初始黑色扰动块,每个扰动块的大小可根据车牌所占像素大小进行调节,初始扰动块的参数敏感性分析可见第3.6.1 节.扰动块位置随机分布,为了在物理空间中准确复刻对抗扰动,本文将扰动设置为块状且为纯黑色.

2.2 基于多目标优化的适应度函数设计

为实现车牌识别系统的成功攻击,对抗样本需要满足两个优化目标:添加的对抗扰动受限、识别类标错误.本文提出多目标优化的适应度函数设计.

对抗扰动受限.计算每张车牌图像样本中扰动总数的面积,即所有扰动的像素点个数总和,记为S=‖x′-x‖0,其中x′表示车牌对抗样本,x表示车牌正常样本.将S作为优化目标F1,F1越小,则表示对抗样本的添加扰动越小.

识别类标错误.为了实现车牌识别系统的错误识别, 本文引入目标函数, 其中表示对抗样本x′被分为第y类的置信度,y表示正常样本x的正确分类结果.越小, 表示车牌对抗样本x′被错误分类的概率越高.

为提高车牌对抗样本在物理场景中的攻击成功率,克服环境因素变换对攻击效果的影响,本文利用图像处理技术模拟真实拍摄场景下的三种变换,并将变换后的分类结果加入优化目标.三种变换分别是:利用图像缩放变换模拟不同拍摄距离;利用图像亮度变换模拟不同拍摄光线;利用图像透视变换模拟不同拍摄角度.三种变换的幅度选取方式分为固定幅度和随机幅度两种.

图2 列举了两种幅度选取方式的变换效果图.图2 (a)展示了固定幅度时的变换效果图.第一行模拟了距离变换,分别将图像尺寸(长宽)缩小至0.5 倍,放大至2 倍;第二行模拟了亮度变换,分别将图像像素值增大30,减小30;第三行模拟了角度变换,分别向右倾30 度,向左倾30 度.

图2 模拟场景变换效果图Fig.2 Scene simulation change effect diagram

图2 (b)展示了随机幅度时的变换效果图.第一行模拟了距离变换,分别将图像尺寸(长宽)随机缩小至0.34 倍,放大至2.3 倍;第二行模拟了亮度变换,分别将图像像素值随机增大65,减小36;第三行模拟了角度变换,分别向右随机倾斜60 度,向左随机倾斜17 度.

将模拟变换后样本的识别结果作为优化目标的一部分,则设计目标函数F2的计算公式如下:

其中,Num表示图像变换种类;Ti(x′)表示变换形态后的对抗样本,i=1,2,···,Num;f(Ti(x′))y表示变换后的样本被分为第y类的置信度;y表示正常样本x的正确分类结果.F2越小,则表示攻击效果越好.

以图3 的两张车牌对抗样本为例,两张样本均被识别为“浙AS7065”.经计算,样本(a)的F1=156.0,F2=0.197;样本(b)的F1=237.0,F2=0.015.两张样本对原车牌“浙A87065”均攻击成功,但是样本(a)的扰动小于样本(b),样本(b)的攻击鲁棒性强于样本(a).

图3 车牌对抗样本Fig.3 License plate adversarial examples

2.3 选择算子

本文采取基于NSGA-II 的算法构成父代样本种群.首先将子代车牌对抗样本与父代车牌对抗样本合并为一个种群R,然后分别进行非支配排序和拥挤度排序,选出前N个优秀对抗样本作为父代个体进行第2.4 节的交叉操作.

非支配排序.当车牌样本中所有目标都优于或等于车牌样本时(即中的F1和F2均小于等于中的F1和F2),则定义为支配了否则是一种非支配关系.非支配排序的整体思路是对种群R中的车牌样本进行等级划分,即分为Rank0,Rank1,Rank2,··· .其中,Rank0中的车牌样本均优于Rank1中的车牌样本,以此类推.快速非支配排序算法如下:

2)k=0,k表示划分的等级;

3) 寻找种群R中所有ni=0 的车牌样本保存在等级Rankk中;

4)对于Rankk中的每张车牌样本遍历si中的每张车牌样本执行nl=nl-1,若nl等于0,则将保存在集合Rankk+1中;

5)k=k+1,进入下一等级的划分;

6)重复步骤4)和步骤5),直到整个种群R被划分完毕.

拥挤度排序.为了判定同一个Rank层中车牌样本的优劣,将每张车牌样本的拥挤度作为评价标准.拥挤度越大表示该车牌样本与其他样本之间的差异性越大,也意味着该车牌样本越优.拥挤度排序用于保持每代车牌样本的多样性.每个样本的拥挤度计算方式如下:

其中,id表示第i个车牌样本的拥挤度,m表示有m个目标函数(本文m=2,即扰动总面积与原类标置信度),表示第i+1 个车牌样本的第j个目标函数值.

非支配排序与拥挤度排序计算完毕,进入车牌样本选择过程.设定每次迭代种群中需要选择的车牌样本数量为N,每次挑选时,先挑选表现最好的样本,即Rank0中的车牌样本,接着Rank1,Rank2,Rank3,··· .但是总会出现以下情况:,此时需要通过拥挤度排序选出Rankn层中较优的车牌样本,即计算Rankn层中每张车牌样本的拥挤度,再根据拥挤度从大到小排序,选出拥挤度大的车牌样本.最终两种排序方式选出的个体总数为N,构成下一次迭代的父代种群.

本文以车牌“浙A87065”排序过程为例,说明选择算子的具体操作过程.图4 为车牌“浙A87065”第10 次攻击迭代中子代加父代种群的非支配排序结果.在进行非支配排序时,为节省时间成本,不需要将种群全部划分,本次排序只划分到Rank3,因为,所以需要先计算Rank3中车牌样本的拥挤度(如图4,样本x′的拥挤度为d1+d2);然后进行拥挤度排序,选出Rank3中拥挤度大的样本,将这些样本与Rank0、Rank1、Rank2中的样本共同组成下一代父代种群.

图4 车牌样本第10 次迭代非支配排序结果Fig.4 License plate example in 10th iteration non-dominated sorting result

2.4 交叉算子

本文采用随机交叉算法生成新的子代个体.从父代车牌样本种群中随机选取两个样本,记录两个样本的扰动块数量分别为n1和n2,从两个样本中随机选取a ∈(0,n1) 和b∈(0,n2) 个扰动块,将a和b个扰动合成一个子代,余下的n1-a和n2-b个扰动合成另一个子代.随机交叉过程示意图如图5 所示,其中黑色区域表示扰动块.图6 表示车牌样本的交叉示例,黑点小块表示扰动.

图5 随机交叉过程示意图Fig.5 Schematic diagram of the random cross process

图6 车牌样本随机交叉示例Fig.6 Example of random intersection of license plate examples

2.5 最优样本获取

当达到最大迭代次数时,从最后一代种群的Rank0中选取最优对抗样本.最优对抗样本的选取可根据攻击情景决定,对扰动隐蔽性要求高的可选取攻击成功中扰动较小的对抗样本;对样本鲁棒性要求高的可选取原类标置信度较小的对抗样本.如图7 表示对车牌“浙A87065”中数字“8”攻击结果的帕累托曲线,其中k表示第k次迭代,每条曲线表示该次迭代中的最优样本群体(Rank0).本文将最优对抗样本定义为原类标置信度小于0.2 时(以较高的置信度攻击成功)扰动最小的样本,即图中“#”所指的位置.

3 实验与分析

本节内容分别从数据集与识别模型、评价指标、车牌图像攻击算法对比、环境模拟变换中的车牌图像对抗样本、实验室环境的车牌识别系统攻击、参数敏感性分析、现实场景中商用车牌识别系统的攻击等方面展开.

图7 数字“8”攻击结果的帕累托曲线Fig.7 Pareto curve of the number“8”attack result

3.1 数据集与识别模型

CCPD[36]是国内用于车牌识别的大型数据集,由中科大构建,该数据集绝大多数为“皖A”车牌.本文为扩充完善各个省份的车牌,将另一公开数据集1https://pan.baidu.com/s/1RyoMbHtLUlsMDsvLBCLZ2w中的车牌数据与CCPD 组合,作为本文的车牌数据集,共5 000 张车牌样本.此外,本文又在5 000张车牌样本上作了旋转、模糊和亮度调节等图片数据增强操作,再次扩充了数据集的数量,达到20 000张图片数据集.

现阶段应用较广的中国车牌识别开源模型包括三种:HyperLPR2https://github.com/zeusees/HyperLPR、EasyPR3https://github.com/liuruoze/EasyPR、基于Paddle-Paddle 的OCR 车牌识别4https://github.com/huxiaoman7/mxnet-cnn-plate-recognition.为比较三者的有效性,本文利用上述公开车牌数据集分别对三种模型进行了训练验证检测,并统计其识别准确率,如表1 所示.(注:HyperLPR 存在预训练模型,本文主要对预训练模型进行微调.)

表1 三种模型的识别准确率Table 1 Recognition accuracy of the three models

车牌识别对比实验设置为1)数据集:公开数据集20 000 张车牌图像;2) 实验平台及环境:i7-7700K 4.20GHzx8 (CPU),TITAN Xp 12GiBx2(GPU),16GBx4 memory (DDR4),Ubuntu 16.04(OS),Python 3.6,Tensorflow-gpu-1.3.

由表1 可知,HyperLPR 模型的识别准确率远高于其他两种模型,因此本文将HyperLPR 模型作为本文攻击算法的目标模型,验证本文攻击方法的有效性.

此外,本文将HyperLPR 模型生成的对抗样本对百度AI 开放平台中的车牌识别板块5http://ai.baidu.com/tech/ocr/plate及商业软件OpenALPR6http://www.openalpr.com/cloud-api.html进行测试,验证了本文提出的黑盒攻击具有较强的攻击迁移性.

3.2 评价指标

本文利用攻击成功率(Attack success rate,ASR)、扰动大小、样本鲁棒性(原类标置信度)和收敛时的迭代次数来评价实验的性能.

攻击成功率计算方式如式(3)所示:

其中,sumNum(·) 表示样本数量,x表示原图,x′表示对抗样本,label(·) 表示输出的类标,y0表示正常车牌的正确类标.

扰动大小用来评价对抗样本中扰动的隐蔽性.本文采用平均L0范数()和平均L2范数()两种扰动计算方式.本文算法生成的对抗样本中的扰动为纯黑色,重点关注扰动的区域面积,所以范数是本文衡量扰动大小的主要指标.的计算方式如式(4)和式(5)所示:

其中,h、w、c分别表示图像中的高度、宽度、通道数,表示对抗样本在第k个通道上坐标为(i,j)的像素点的值,xijk表示原始图像在第k个通道上坐标为(i,j)的像素点的值,图像的像素值范围是0 到255.

样本鲁棒性用原类标置信度表示,对抗样本被识别成原类标的置信度越低,表示该样本越鲁棒.

收敛时的迭代次数主要用来衡量一次攻击所需要的时间成本和访问代价.本文算法对模型的访问次数=迭代次数 × 种群大小.

3.3 车牌图像攻击算法对比

在基于深度学习的计算机视觉领域,现已有多种对抗攻击的算法.其中,白盒攻击中较为典型的有FGSM 和基于2-norm 的攻击方法,黑盒攻击中较为典型的有ZOO 和AutoZOO 攻击方法.本文针对车牌识别系统提出一种基于NSGA-II 的黑盒攻击方法,实现了物理空间的对抗攻击.

NSGA-II 算法参数设置如下:种群规模为50 张车牌样本,初始扰动所占总面积比为1:80,扰动块数量为30,形状为矩形,进化停止代数为50 代,交叉概率为0.8.

本文面向车牌数据集,分别采用4 种性能较优的白盒与黑盒攻击算法对每张图像上的7 个字符展开对抗攻击,目标模型为HyperLPR,并将攻击结果同本文算法的攻击结果进行对比,如表2 所示.为了配合FGSM 等主流攻击算法中的扰动计算方式,表2 中的扰动大小用平均L2范数()和平均L0范数()计算.

表2 车牌图像攻击算法对比结果Table 2 Comparison results of plate images attack algorithms

由表2 可知,在指定攻击车牌上的某一个字符时,本文算法的攻击成功率高于其他4 种攻击方法,并且扰动也相应更小一点,其中一张车牌的对抗样本如图8 所示.扰动主要衡量扰动的像素点个数,即扰动区域.由于本文算法重点限制扰动区域,而其他4 种攻击方法在整张车牌上添加扰动,所以本文算法的扰动小于其他4 种攻击方法.就黑盒攻击而言,本文算法对模型的访问次数远小于其他两种攻击算法,这得益于本文算法只需较少的迭代次数.此外,白盒攻击对模型的访问次数远小于黑盒攻击对模型的访问次数,基于2-norm 的攻击方法在各项指标上均优于FGSM,AutoZOO 在各项指标上也均优于ZOO.

由图8 的对抗样本生成结果可知,前4 种攻击算法得到的对抗扰动基本都是全局分散的,而且每个扰动的像素值几乎都不相同,有的扰动甚至肉眼无法观测到.很显然前4 种攻击方法得到的车牌对抗样本难以在物理空间中复现,即使通过打印纸质车牌,依旧存在打印色差的问题.但是本文算法只需要在真实车牌的相同位置贴上相同形状的黑色小纸片即可完成复现,甚至粘上黑色泥土也能达到一定的攻击效果.

图8 不同攻击算法攻击同一张车牌样本的不同位置的对抗样本图Fig.8 Adversarial examples graph of different attack algorithms attacking different positions of the same license plate sample

3.4 环境模拟变换中的车牌图像对抗样本

为提高对抗样本在物理攻击中的成功率,本文利用NSGA-II 自动生成数字“0”到“9”的对抗样本,并在不同数字模拟环境中测试鲁棒性.本文采取三套不同的幅度变换策略生成对抗样本,分别是固定1、固定2、随机变换.

1)固定1:将原始对抗样本尺寸缩小至0.5 倍和放大至2 倍;将原始对抗样本像素值增加30 和减小30;将原始对抗样本向右倾斜30 度和向左倾斜30 度.

2)固定2:将原始对抗样本尺寸缩小至0.3 倍和放大至3 倍;将原始对抗样本像素值增加50 和减小50;将原始对抗样本向右倾斜50 度和向左倾斜50 度.

3)随机变换:将原始对抗样本尺寸随机缩小至S1∈(0.2,1)倍和放大至S2∈(1,5) 倍;将原始对抗样本像素值随机增加P1∈(0,100) 和减小P2∈(0,100);将原始对抗样本随机向右倾斜A1∈(0,60) 度和向左倾斜A2∈(0,60) 度.

本文使用的车牌图像大小约为350 × 100 个像素点,当尺寸缩小倍数小于0.2 时,会对图像的可视性造成较大的影响;当尺寸放大倍数大于5 时,会导致模型识别准确率的下降;改变的像素值超过(−100,100)这个范围时,会导致图像过暗或过亮,降低模型的识别准确率;倾斜角的阈值设定与文献[32]一致,超过该阈值后,模型的识别准确率会大大降低.

实验结果如表3 所示.其中,左边第1 列表示对对抗样本进行不同的环境模拟变换;左边第2 列表示三套不同的幅度变换策略;第3 列到第12 列具体列举了数字“0”到“9”的攻击成功率,每一个数字都生成了三种不同环境模拟策略的对抗样本,所以每一个数字对应的每一种环境下,都有三个攻击成功率,分别是策略“固定1”、“固定2”和“随机变换”.原始对抗样本表示不对样本作模拟变换,对于这种情况,“固定1”策略的攻击成功率最高,这得益于“固定1”策略中环境变换幅度较小;“尺寸(× 0.5)、光线(+30)、角度(右30 度)”和“尺寸(×2)、光线(-30)、角度(左30 度)”这两种环境模拟变换与“固定1”策略中的变换相同,所以由“固定1”生成的对抗样本的攻击成功率高于其他两种;“尺寸(× 0.3)、光线(+50)、角度(右50 度)”和“尺寸(× 3)、光线(-50)、角度(左50 度)”这两种环境模拟变换与“固定2”策略中的变换相同,所以由“固定2”生成的对抗样本的攻击成功率高于其他两种,并且在这种情况下“随机变换”策略优于“固定1”;“尺寸(× 0.7)、光线(+20)、角度(右42 度)”和“尺寸(× 1.3)、光线(-75)、角度(左15 度)”这两种环境模拟变换是随机选取的,在这种情况下,“随机变换”策略优于前两种,并且“固定2”优于“固定1”.由此可知,当环境模拟变换与进化时的模拟策略一致时,固定幅度的攻击成功率会相应提升,并且固定的幅度越大,对外界环境的适应能力越好,但是生成对抗样本时的成功率会略微下降.当外界环境变换不可知时,“随机变换”策略生成的对抗样本的攻击鲁棒性更高,由此可知随机幅度变换更适用于本文算法.

由表3 的“各种环境平均攻击成功率”可知,不同数字的对抗样本的鲁棒性并不相同.在不同的环境变换下,数字“0”的三种对抗样本的攻击成功率均为最高,数字“1”的三种对抗样本的攻击成功率均为最低.换言之,在物理攻击中数字“0”比数字“1”更容易被攻击.

表3 不同环境模拟策略在不同模拟环境下的攻击成功率Table 3 The attack success rate of different simulation strategies in different simulation environments

表4 展现了表3 中数字“0”到“9”每类对抗样本中的其中一张样本的分类结果.由表4 可知,同一张对抗样本在进行不同的环境模拟变换后,错误分类的结果会不全相同,这意味着本文算法在车辆逃逸场景中有更高的适用性.此外,三种策略下的数字“1”均有被正确分类的情况,该结果也进一步验证了本文算法中数字“1”较难被攻击的结论,其原因是本文算法在车牌上添加的扰动为黑色扰动块,数字“1”对黑色扰动块的敏感性较低,与之相反,对白色扰动块的敏感性较高.最后,无论是哪种策略的对抗样本,在经过不同的变换后,其识别置信度均有一定程度的下降,且下降幅度的趋势与变换幅度呈正相关.这一结果也从侧面反映了在现实场景中,模型的识别结果易受到环境因素的影响.

3.5 实验室环境的车牌识别系统攻击

完成数字空间中的车牌图像攻击后,将车牌对抗样本按车牌真实比例放大后打印,然后将扰动裁剪下来,按对应位置粘贴在真实车牌上,测试本文算法在实验室环境中的物理攻击效果,调整实验室环境的距离、光线、角度,检测对抗样本的鲁棒性.实验结果如表5 所示.本实验的车牌识别模型是HyperLPR,原始正常车牌为“苏AN4D79”.

由表5 可知,正常车牌在不同物理环境下均能以0.9 以上的置信度被正确识别.之后,我们分别在“N”、“D”、“9”上添加扰动(粘上打印后裁剪下来的黑色纸张),实验结果可得添加扰动后的车牌在不同的物理环境下均被错误识别为“苏AH4072”,分类置信度有所下降,但均高于0.8,属于正常的置信度范畴.实验验证了数字空间中攻击成功的对抗样本在物理空间中复现后,也具有较强的攻击能力.

3.6 参数敏感性分析

本文使用基于精英策略的非支配排序遗传算法(NSGA-II),主要的参数包括:初始扰动信息、交叉概率、迭代次数.在本节中,对以上参数逐个进行敏感性分析.

3.6.1 初始扰动信息分析

本文将遗传进化算法作为主要的攻击方法,初始种群(初始扰动)的信息对本文算法的有效性具有直接影响.本文将初始扰动设定为若干个扰动块,每个扰动块由若干个黑色像素点组成,每个扰动块面积相等.

以下对初始扰动块所占面积比值、数量、形状进行具体分析.初始扰动块所占面积比值表示车牌样本中所有扰动块面积之和与车牌面积之比;扰动的数量表示每张车牌样本中扰动块的数目;初始扰动的形状被设定为矩形(R)、圆形(C)以及混合方块圆形(R+C).

表4 车牌对抗样本识别结果及其置信度、扰动等展示Table 4 License plate against sample identification results and their confidence,disturbance display

表5 实验室环境的车牌对抗攻击Table 5 License plate adversarial attack in the laboratory environment

本文选取数据集中10 张车牌样本,分别用不同的初始扰动信息对车牌上的7 个字符进行攻击,一共生成70 张对抗样本,统计不同的初始扰动信息对实验结果的影响.具体实验结果如表6 所示,其中“最终扰动”列表示攻击得到的最优对抗样本的扰动大小(用平均L0范数计算).

表6 初始扰动信息的影响Table 6 Influences of initial perturbation information

由表6 可知,在初始扰动块所占面积比值及数量一定的情况下,初始扰动块的形状对本文算法攻击效果的影响可以被忽略.在初始扰动块所占面积比值一定时,扰动块的数量越多,最终得到的对抗样本的扰动越小,但是迭代次数会有所上升.当初始扰动块的数量一定时,扰动块所占面积比值越小,最终扰动相应也会越小,但是攻击成功率会相应地下降,迭代次数也会上升.

不同字符的攻击难易程度也不同,如汉字和一些数字(“0”、“8”等)更容易受到攻击,此时我们可以采用面积比值较小的初始扰动来进行攻击.但是像“A”这种字母,相对更难攻击,所以我们应该选择面积比值较大的初始扰动来进行攻击.总之,初始扰动块所占面积比值大小及数量的选择可以根据实际情况要求作出一些变动.在没有特殊要求的情况下,为了同时兼顾攻击成功率、最终扰动大小以及迭代次数,本文在实验中选择了面积比值比为1:80、数量为30 的矩形扰动块作为初始扰动.

3.6.2 交叉概率分析

交叉概率用来判定两个个体是否需要交叉,其大小决定了进化过程的收敛速度以及收敛的优劣性.本文利用25 组车牌样本中的两个数字或字母测试了交叉概率对本实验的影响,具体结果如表7所示.

表7 交叉概率敏感性分析Table 7 Cross-probability sensitivity analysis

由表7 可知,交叉概率为0.2 时,收敛时的迭代次数为75 次;交叉概率为1 时,收敛时的迭代次数下降到32 次.随着交叉概率的增大,收敛时的迭代次数逐步下降.但是交叉概率大于0.8 时,迭代次数的下降幅度大大减缓,甚至几乎不再改变.由此可知交叉概率对收敛速度具有较大的影响,但大于0.8 时影响细微.由表7 的后两列可知,随着交叉概率的增大,最优样本原类标置信度与扰动在一定范围内波动,并没有体现出与交叉概率有较大的相关性,所以最优对抗样本的鲁棒性与扰动大小对交叉概率不敏感.为了节省时间成本以及保持样本的多样性,本文选取交叉概率为0.8.

3.6.3 迭代次数分析

在进化计算中,迭代次数的多少直接体现该算法所需要的时间成本;在黑盒攻击中,迭代次数的多少直接决定了一次攻击需要访问的模型次数.本文选取数据集中10 张车牌样本,分别对每张车牌上的7 个字符进行攻击,一共进行70 次迭代攻击,统计每10 代最优种群(Rank0)中的平均原类标置信度和平均扰动大小.实验结果如图9、图10 所示.

由图9 可知,当迭代次数达到35 代左右时,最优种群(Rank0)中的样本在平均原类标置信度上开始收敛.在前30 代中,随着迭代次数的增加,种群中的平均原类标置信度下降速度变缓.

由图10 可知,当迭代次数达到15 代左右时,最优种群(Rank0)中的样本在扰动大小上就已经开始收敛,且前10 代的下降速率很快,表明对抗样本中扰动数的减少会在前10 代产生质的变化.

结合图9、图10 可知,最优种群(Rank0)会在35 代左右在两个目标函数上同时收敛.在前10 代中,同时优化原类标置信度和扰动大小两个指标,是进化过程中最重要的阶段;在10 代到35 代中,主要优化原类标置信度,使得对抗样本的鲁棒性增强;35 代以后的最优种群(Rank0)达到收敛,之后的迭代对种群优化影响不大.所以本文算法不依赖大量的迭代次数,大大减少了时间成本以及对目标模型的访问次数.

图9 平均原类标置信度随迭代次数变化曲线图Fig.9 Curve of the original class standard confidence varying with the number of iterations

图10 平均扰动大小随迭代次数变化曲线图Fig.10 Curve of the perturbation varying with the number of iterations

3.7 现实场景中商用车牌识别系统的攻击

最后,为了更进一步证实本文的攻击方法在现实场景中的可实现性,我们用泥土代替原先的扰动,附在车牌的对应位置,拍摄三种车牌识别场景下的车辆照片,分别用百度AI 开放平台中的车牌识别板块及具有商业性质的OpenALPR 进行了检测,验证本文算法的攻击具有迁移性和可实现性.由于用泥土代替的扰动无法和打印出来的纸张扰动一样精准,所以攻击效果较实验室环境有所下降.本文设置了三种现实攻击场景,分别为躲避公路上探头抓拍、躲避车牌尾号限行措施、冒充出入库车辆,如表8~ 表10.

3.7.1 躲避公路上探头抓拍

本实验中正常车牌的识别结果为“浙A87065”,生成扰动的目标模型为HyperLPR.本实验在“8”、“0”、“6”三个数字上添加扰动,实现车辆躲避抓拍攻击.由表8 可知,对于行驶过程中的车辆,位置不同对识别结果具有较大的影响.目标模型HyperLPR 对中文字的识别效果较差,但是对数字和字母的识别效果优于百度AI 和OpenALPR.对于百度AI 和OpenALPR 而言,三个添加扰动的数字均被错误识别.

3.7.2 躲避车牌尾号限行措施

本实验中正常车牌识别结果为“苏AN4D79”,生成扰动的目标模型为HyperLPR.本实验在“N”、“9”上面添加扰动,实现车辆的逃逸攻击以及躲避尾号限行攻击.由表9 可知,对于添加了扰动的“N”,三个模型在不同位置均对“N”识别错误,实现了现实生活中的车辆逃逸.对于模型HyperLPR,尾号“9”均被识别为“2”,实现了现实生活中的躲避尾号限行.对于其他两个模型,大部分情况下,尾号“9”也被错误识别,证明针对于尾号的攻击也具有一定的迁移性.

3.7.3 冒充出入库车辆

本实验中正常车牌识别结果为“浙AP0P20”,生成扰动的目标模型为HyperLPR.本实验在两个“P”上面添加不同的扰动,实现车辆出入库顶替攻击.出入库检测时,拍摄角度较为倾斜,HyperLPR 模型无法正确检测出车牌的位置,所以本文将其替换为学校出入库专用的商用车牌检测系统(立方)的检测结果.由表10 可知,立方将一个“P”错误识别,百度AI 和OpenALPR 将两个“P”都错误识别,且三个商用软件都将第二个“P”错误识别为“F”,所以该扰动可作为迁移攻击的目标攻击.

表8 躲避公路探头抓拍Table 8 Avoiding road probe capture

表9 躲避车牌尾号限行Table 9 Avoiding license plate tail number limit

表10 冒充出入库车辆Table 10 Posing as a warehousing vehicle

4 结束语

本文针对车牌识别系统提出了基于NSGAII 进化计算的黑盒物理攻击方法.只需知道输出类标及对应置信度,就能产生对环境变化因素具有较强鲁棒性的扰动,而且本文算法将扰动控制为纯黑色块,可用车子行驶过程中飞溅上来的淤泥块代替.本文分别在实验室环境和真实环境中对生成的对抗样本进行检验,验证了本文算法的物理可实现性以及对抗样本对真实环境因素的鲁棒性和迁移性.

除上述优点外,本文算法也存在两个缺陷:1)生成的车牌扰动较大,攻击可能会被外界因素所阻止(如被交警拦下).所以在之后的研究中,设想用透明反光材料代替泥土,大大降低人眼可见度.2)本文需要知道车牌模型输出的分类置信度,在某些场合,这个条件可能不被满足.所以在之后的研究中,尝试只用最终的分类类标进行攻击,但是这可能会大大增加对模型的访问次数.

猜你喜欢
黑盒车牌置信度
一种基于局部平均有限差分的黑盒对抗攻击方法
硼铝复合材料硼含量置信度临界安全分析研究
数字图像处理技术在车牌识别系统中的应用
正负关联规则两级置信度阈值设置方法
第一张车牌
基于MATLAB 的车牌识别系统研究
置信度条件下轴承寿命的可靠度分析
多假设用于同一结论时综合置信度计算的新方法✴
“他的车牌是……”