Towards Powerful and Practical Patch Attacks for2D Object Detection in Autonomous Driving

英文题目：《Towards Powerful and Practical Patch Attacks for2D Object Detection in Autonomous Driving》

中文题目：《面向自动驾驶中2D目标检测的强大而实用的补丁攻击》

发布于：arxiv

级别：cvpr

论文链接：

摘要

尽管取得了进步，但基于学习的自动驾驶系统仍然非常容易受到对抗性补丁的影响，在其实际部署中构成严重的安全和安全风险。黑盒攻击，值得注意的是他们的高攻击成功率没有模型知识，特别是关注，其可转移性进行了广泛的研究，以减少计算成本相比，基于查询的攻击方法。以往的基于可传递性的黑盒攻击通常采用平均精度（mAP）作为评估指标，并相应地设计训练损失。然而，由于存在多个检测到的边界框和相对宽松的交并（IoU）阈值，这些方法的攻击有效性往往被高估，导致在实际攻击场景中的成功率降低。此外，在低分辨率数据上训练的补丁通常无法在高分辨率图像上保持有效性，限制了它们向高分辨率自动驾驶数据集的可移植性。为了填补这一空白，我们提出了P3A，这是一个强大而实用的补丁攻击框架，用于自动驾驶中的2D对象检测，专门针对高分辨率数据集进行了优化。首先，基于IoU，我们引入了一个新的评估指标，实际攻击成功率（PASR），以更准确地量化对抗补丁攻击的有效性，并与自动驾驶中的行人安全更相关。其次，我们提出了一个定制的损失函数，本地化置信抑制损失（LCSL），以提高PASR下的攻击转移性。最后，为了保持高分辨率数据集的可移植性，我们进一步将概率尺度保持填充（PSPP）作为数据预处理步骤纳入补丁攻击管道。大量的实验表明，P3A在未知模型和未知高分辨率数据集上的性能优于最新的攻击，无论是在提出的基于实用IoU的评估指标还是以前的基于mAP的指标下。

本文聚焦的问题

迁移性不足：现有补丁攻击方法通常在低分辨率（LR）数据集上训练，当应用于高分辨率自动驾驶场景时，由于行人目标尺寸变小，补丁的干扰效果大幅减弱，导致攻击成功率显著下降。
评估指标不实用：现有研究普遍采用mAP（mean Average Precision）作为评估指标，但该指标存在两个严重缺陷：
多重检测框问题：一个行人被多个重叠框检测时，mAP会因为假阳性增加而下降，但这些检测框仍可能触发车辆减速或停车，实际安全风险并未消除。
低IoU阈值问题：只要检测框与真实框的IoU低于阈值（如0.5），即使检测框仍能覆盖行人部分区域，mAP也会将其视为攻击成功，而实际上车辆仍可能识别到行人并采取安全措施。
损失函数设计局限：现有攻击方法主要基于置信度分数（objectness/classification score）设计损失函数，忽略了IoU（交并比）对攻击效果的关键作用，导致攻击难以彻底消除检测框与真实框的交集，无法有效降低真实安全风险。

本文提出的方法

本文提出的P³A（Powerful and Practical Patch Attack）框架，针对现有对抗性补丁攻击在高分辨率（HR）自动驾驶场景中迁移性差、评估指标不实用的问题，提出了以下三项关键创新：

1. 新评估指标：PASR（Practical Attack Success Rate）
   问题：传统mAP和ASR指标因多重检测框和低IoU阈值问题，高估攻击效果，无法反映真实安全风险。
   定义：PASR将攻击成功严格定义为“无任何预测框与真实行人框重叠（IoU=0）”，即行人被完全忽略的情况。
   图像级评估：只要图像中有一个行人未被检测到（IoU=0），即视为攻击成功。
   安全对齐：直接对应自动驾驶中“未检测到行人可能导致碰撞”的极端风险。

2. 新损失函数：LCSL（Localization-Confidence Suppression Loss）
   设计动机：现有损失仅优化置信度分数（如objectness或classification score），忽略IoU，导致攻击不彻底。
   核心思想：联合抑制IoU和置信度分数，使检测框既无法与真实框重叠（低IoU），又因低置信度被NMS过滤。

3. 数据预处理：PSPP（Probabilistic Scale-Preserving Padding）
   问题：LR数据集训练的补丁在HR数据中失效，因行人相对尺寸变小。
   方法：
   以概率phr 将LR图像（如INRIA的630×647）零填充至HR分辨率（如1920×1920），保持行人绝对尺寸不变但降低其相对比例，模拟HR自动驾驶场景。
   效果：增强补丁对HR数据的小目标的迁移性，避免直接缩放导致的行人尺寸失真。
   整体流程
   输入：LR训练集（如INRIA）、单替代模型（如YOLOv2）、初始随机补丁。
   预处理：对部分图像应用PSPP，模拟HR数据分布。
   迭代优化：
   将补丁粘贴到行人区域，生成对抗样本。用替代模型提取Top-Tk预测，计算LCSL损失。通过Adam优化器更新补丁（联合Ladv 和总变差正则化Ltv ）。
   输出：迁移性强的对抗补丁，可直接攻击HR自动驾驶数据中的黑盒模型。
   实验验证
   跨模型迁移：在11个检测器（YOLO系列、Faster-RCNN、SSD等）上，P³A较T-SEA平均提升10%+ PASR。
   跨数据集迁移：在7个HR自动驾驶数据集（如KITTI、nuScenes）上，平均PASR达54%，显著优于现有方法。
   物理攻击：真实场景中，P³A使行人持续2.3秒未被检测到（T-SEA仅0.3秒），验证实际威胁。

阅读总结

1、评估指标更真实可靠
PASR（Practical Attack Success Rate） 首次将攻击成功严格定义为“完全未检测到行人（IoU=0）”，直接对应自动驾驶中的致命风险（如碰撞）。
解决mAP/ASR高估问题：传统指标因多重检测框或低IoU检测而虚高攻击效果，而PASR能准确反映真实安全威胁。

2、攻击迁移性显著提升
跨模型迁移：在11个主流检测器（YOLO系列、Faster-RCNN、SSD等）上，P³A的平均PASR比T-SEA提升 10%-21%（如YOLOv2→Faster-RCNN提升21.43%）。
跨数据集迁移：在7个高分辨率自动驾驶数据集（如KITTI、nuScenes）上，平均PASR达 54%，远超现有方法（T-SEA仅40%）。
物理场景有效：真实测试中，P³A使行人持续 2.3秒未被检测（竞品仅0.17-0.4秒），验证实际威胁。
3、损失函数设计更科学
LCSL（Localization-Confidence Suppression Loss） 首次联合优化IoU与置信度分数，使攻击同时满足：
低IoU：检测框与行人真实框无重叠。
低置信度：检测框因置信度低被NMS过滤。