陈晋音  等:基于 PSO 的路牌识别模型黑盒对抗攻击方法                                                    2795


             表 3 展示了部分对抗路牌图像,更多对抗样本展示在附录的图 6 中.























                                 Fig.6    Physical adversarial examples in indoor scene
                                       图 6   室内场景下对抗样本拍摄图
             根据结果可知,对抗路牌样本在物理攻击测试中具有较高的攻击成功率,说明了物理扰动的有效性和可靠
         性.对于相同的路牌标识,海报形式的对抗样本的攻击成功率比贴纸形式的更高,这主要是因为海报能够实现比
         贴纸范围更广的扰动展示.
             (3)  真实交通环境(晴天)中的攻击效果分析
             在真实交通环境(晴天)中,实验场景设置了包括距离、角度和光影的变化.我们的攻击方式分为有目标攻击
         和无目标攻击,同时,我们添加扰动的形式包括贴纸和海报.
             真实交通环境(晴天)中的无目标攻击实验结果见表 4,在距离/倾角为分别 5m/0°、7m/0°、7m/20°、15m/0°、
         15m/20°和光影分别为亮、暗的条件下测试对抗样本的物理攻击成功率.
                                  Table 4    Untargeted attack in sunny outdoor scene
                                    表 4   真实交通环境(晴天)中的无目标攻击
               添加方式                                     贴纸
                 光影                    亮                                  暗
                原始类     禁止鸣笛    限速 40km/h   限重 10t   环岛行驶  禁止鸣笛    限速 40km/h  限重 10t   环岛行驶
                ASR phy  79.0%    83.3%    100%    100%     82.3%    85.0%    100%    100%
               添加方式                                     海报
                 光影                    亮                                  暗
                原始类     禁止鸣笛    限速 40km/h   限重 10t   环岛行驶  禁止鸣笛    限速 40km/h  限重 10t   环岛行驶
                ASR phy  94.7%    100%     100%    100%     95.6%    100%     100%    100%
             更多对抗路牌图像展示在图 7 中.根据实验结果可知,对抗路牌样本在真实的交通环境(晴天)测试中仍然具
         有较高的攻击成功率,说明 BPA-PSO 算法生成的对抗样本对变化的物理环境具有较强的鲁棒性.同时,海报形
         式的对抗样本的攻击成功率仍然比贴纸形式的高.
             真实交通环境(晴天)中的有目标攻击实验结果见表 5,在距离、角度和光影变化的条件下,测试对抗样本的
         物理攻击成功率.表中每种情况都拍摄 3 张图片,记录识别结果和对应置信度.
             •   “tar:0.92”表示被识别为目标类且置信度为 0.92;
             •   “ori:0.53”表示被识别为原始正确类标且置信度为 0.53;