陈晋音  等:基于 PSO 的路牌识别模型黑盒对抗攻击方法                                                    2797


         测试中也获得了不错的攻击效果.
             表 6 展示了对抗路牌样本在雨天交通场景下的无目标攻击结果,更多对抗样本展示在图 8 中.从实验结果
         可以看出:尽管环境因素更加恶劣,对抗样本仍然具有较为可靠的攻击性.

                                   Table 6    Targeted attack in rainy outdoor scene
                                    表 6   真实交通环境(雨天)中的有目标攻击

                   添加方式                 贴纸                             海报

                     对抗
                     路牌
                     图像

                    ASR phy    100.00%         73.20%         100.00%         100.00%























                              Fig.8    Physical adversarial examples in rainy outdoor scene
                                     图 8   室外场景下(雨天)对抗样本拍摄图
             (5)  攻击算法对比
             在相同的电子场景和物理场景下,实验还设置了其他 3 种黑盒攻击方法与本文的 BPA-PSO 攻击方法进行
         对比,分别是 PSO,ZOO    [24] 和 Boundary [23] .实验中,分别使用了每种攻击方法下电子攻击成功率为 100%的对抗样
         本来做物理场景的攻击.其中,攻击测试的路牌对抗样本包含 5 个类别,共 1 000 张图像.物理场景攻击的路牌图
         像是在距离小于 5m、倾角小于 5°的情况下拍摄的.
             实验结果见表 7,其中,ASR elec 是电子攻击成功率,ASR phy 是物理攻击成功率.
                         Table 7    Comparison of attack success rate of different attack algorithms
                                     表 7   不同攻击算法的攻击成功率对比
                                    CHINA-CNN1       CHINA-CNN2       CHINA-CNN3
                         攻击方法
                                  ASR elec   ASR phy   ASR elec   ASR phy   ASR elec   ASR phy
                         BPA-PSO  100%     91.3%   100%     98.3%   100%     95.1%
                          PSO     100%     5.4%    100%      0%     100%      0%
                          ZOO     100%     15.7%   100%     4.1%    100%     7.3%
                         Boundary  100%    7.5%    100%     5.2%    100%     3.8%