摘要

本文介绍了一种针对红外行人检测器的多视角黑盒物理攻击方法——对抗红外网格（AdvGrid）。在可见光谱中，物理对抗攻击的研究已广泛开展，但在红外光谱中的相关研究仍有限。红外物体检测器在现代技术应用中至关重要，但易受对抗攻击的影响，构成重大安全威胁。本文提出的AdvGrid方法通过在行人服装内部循环应用网格格式的扰动，利用遗传算法进行黑盒优化，实现了对红外行人检测器的多视角黑盒物理攻击。实验验证了该方法的有效性、隐蔽性和鲁棒性，其在数字环境和物理环境中的攻击成功率分别达到80.00%和91.86%，优于基线方法。此外，该方法对主流检测器的平均攻击成功率超过50%，显示出其鲁棒性。本文还进行了消融研究、转移攻击和对抗防御分析，确认了该方法的优越性。

原理

AdvGrid方法的核心在于通过模拟红外网格的物理参数，并利用遗传算法进行优化，生成最优的对抗红外网格参数。这些参数随后被应用于生成对抗样本，通过期望变换（EOT）框架和薄板样条（TPS）框架进行鲁棒性增强，确保对抗样本在从数字环境转移到物理环境时的稳定性和适应性。具体来说，遗传算法通过选择、交叉和变异操作，迭代优化红外网格的物理参数，以最小化目标对象在红外检测器中的置信度，从而实现对检测器的欺骗。

流程

AdvGrid的工作流程包括七个关键步骤：模拟和建模红外网格的物理参数；将这些参数进行二进制编码并初始化种群；将二进制编码的参数转换为数字扰动，并与清洁样本结合生成数字样本；将数字样本输入深度神经网络（DNN）进行评估，并应用EOT鲁棒性增强技术；使用遗传算法进行优化，通过选择、交叉和变异操作迭代优化参数；选择最优扰动并应用TPS鲁棒性增强技术，将增强后的扰动集成到从不同视角拍摄的行人图像中；在物理环境中，将优化后的扰动模式嵌入到行人服装中，实现多视角对抗效果，从而在实际场景中难以被红外行人检测器检测到。

应用

AdvGrid方法的应用前景广泛，特别是在需要高度安全性的领域，如安全筛查、自动驾驶等。由于该方法能够有效地在物理环境中实现对红外行人检测器的多视角黑盒攻击，因此对于提高这些系统的安全性和鲁棒性具有重要意义。未来，该方法还可进一步探索跨模态场景下的计算机视觉系统安全性问题。