针对车牌识别系统的双重对抗攻击

• Published in: 网络与信息安全学报 Vol. 9; no. 3; pp. 16 - 27
• Main Authors: 陈先意, 顾军, 颜凯, 江栋, 许林峰, 付章杰
• Format: Journal Article
• Language: Chinese
• Published: 综合业务网理论及关键技术国家重点实验室(西安电子科技大学),陕西西安710126 01.06.2023; 南京信息工程大学数字取证教育部工程研究中心,江苏南京210044%南京信息工程大学数字取证教育部工程研究中心,江苏南京210044
• Subjects: adversarial attack; 对抗攻击; 车牌识别; license plate recognition; adversarial spot; 对抗补丁; 对抗斑点; adversarial patch
• ISSN: 2096-109X
• DOI: 10.11959/j.issn.2096-109x.2023034

TP393; 使用深度神经网络的人工智能系统面对对抗样本的攻击表现出极大的脆弱性.因此,在基于深度神经网络的车牌识别系统(LPR,license plate recognition)场景下,提出针对车牌识别系统的双重对抗攻击(DAA,double adversarial attack)方法.通过添加对抗补丁到车牌的图案位置,使LPR的目标检测子系统不能检测到车牌类;通过在车牌号上添加不规则的单连通区域扰动斑点以模拟自然形成的铁锈、污渍等,使LPR的车牌号识别子系统产生误识别.针对车牌研究设计不同形状的对抗补丁、不同颜色的对抗斑点,以此产生对抗车牌,并迁移到物理世界中.实验结果表明,设计出的对抗样本既不会被人眼所察觉,也能够欺骗车牌识别系统,如EasyPR,在物理世界中的攻击成功率能够达到99％.关于LPR的对抗攻击及深度学习的脆弱性研究,对提高车牌识别模型的鲁棒性具有积极促进意义.