近年来,深度神经网络(DNN)在视觉任务中表现出色,例如分类(Ciecierski和Mandat(2024);Shi等人(2023);Wang等人(2024);Dang等人(2024);Ke和Wang(2023))以及分割(Li, Mao, Liang, Li, Wang, Guo, 2024a;Li, Wang, Liu, Zhu, Zhong, Wang, 2024b;Zhao和Xu(2024))。热红外探测器(为简洁起见,本文统称为“红外探测器”)结合了红外成像和DNN技术。由于其在完全黑暗和恶劣环境中的出色性能,红外探测器被广泛用于安全监控、自动驾驶和救援操作。为了进一步研究基于DNN的探测器的安全性,一些研究人员引入了对抗性攻击(Brown等人(2017);Szegegy等人(2014))。对抗性攻击分为数字对抗性攻击和物理对抗性攻击。数字对抗性攻击在实际应用中效果有限,而物理对抗性攻击旨在在现实世界中实现成功攻击,而不仅仅是获得良好的数据集攻击结果(Wang等人(2022b))。物理对抗性攻击不仅对基于DNN的系统构成威胁,也是评估实际环境中部署的DNN的有效方式。目前,大多数物理对抗性攻击都针对可见场景,而针对红外场景的攻击尚未得到充分探索。
尽管物理对抗性攻击在可见场景中取得了显著成功,但常见的攻击方法(如设置印刷数字贴片)在红外场景中无效。此外,红外相机通过检测物体发出的红外辐射来捕捉红外图像,这些图像通常只有一个灰度通道。因此,对红外图像的扰动受到很大限制。因此,对红外图像的物理对抗性攻击更具挑战性。
随着针对可见图像的对抗性攻击的发展,一些研究将这一研究扩展到了红外图像。Zhu等人(2021)设计了一种带有小灯泡的对抗性板来攻击红外行人探测器。QR攻击(Zhu等人(2022)和AIP方法(Wei等人(2023b)利用气凝胶制造对抗性服装或贴片,因其具有隔热性能。然而,上述方法都无法同时确保多视图效果、隐蔽性和黑箱环境下的适用性——这些都是现实世界物理对抗性攻击的关键因素。为了保持隐蔽性,一些研究人员(Hu, Shi, Jiang, Yao, Tian, Chen, Zhou, Li, 2024a;Hu, Shi, Yao, Jiang, Tian, Chen, Li, 2024b;Tiliwalidi等人(2025);Wei等人(2023a)使用冷却膏在黑箱环境下制造对抗性贴片。尽管有所改进,但这些方法仍存在问题,如无法实现多视图效果、物理部署复杂以及攻击强度有限。
前述分析表明,确保多视图效果、隐蔽性和易于部署的黑箱攻击仍然很大程度上未被探索。在本文中,我们提出了一种针对红外行人探测器的黑箱攻击方法,称为对抗性条纹(AdvStripes)。为了实现多视图攻击,对抗性条纹被设计成环绕在行人身体上,从而使扰动覆盖整个视图。为了实现隐蔽性,我们使用冷却膏制作条纹,因为它们可以隐藏在衣物下。冷却膏在低温下呈现接近纯黑色,在红外图像中可以生成扰动以欺骗探测器。我们的方法在黑箱环境下进行攻击,不依赖于目标模型的任何内部信息。重要的是,我们的攻击不需要复杂的对抗性图案,因此易于在现实环境中部署。
多视图攻击的主要挑战是视角变化会显著改变贴片的视觉特征,使得难以维持攻击效果。因此,我们设计了周期性锯齿形状的条纹。这种规则图案比不规则形状减少了失真,同时仍为优化提供了足够的灵活性。图1展示了我们的AdvStripes攻击示例。为了快速找到最佳解决方案而不依赖于目标模型的内部信息,我们设计了基于粒子群优化的策略来确定条纹的最佳位置和详细的锯齿形状。条纹的其他参数是手动设置的,以评估其对攻击性能的影响。与之前的多视图方法(如AdvIB(Hu等人(2024a)和AdvGrid(Tiliwalidi等人(2025))不同,我们的方法明确考虑了视角变化下对抗性贴片的形状变形。通过提高跨视图的视觉稳定性,我们增强了多视图条件下的攻击效果。此外,与需要制造带有复杂对抗性图案的灯泡板或服装的方法相比,我们的方法更具实用性。表1全面比较了我们的AdvStripes与现有代表性方法,清楚地展示了我们提出方法的优点。
我们的贡献总结如下:
•我们提出了一种针对红外领域的新型黑箱对抗性攻击方法AdvStripes。通过使用冷却膏制作条纹贴片并将其360°缠绕在人体上,我们的方法实现了多视图效果和隐蔽性。
•我们设计的对抗性条纹具有周期性锯齿形状,通过提高对抗性扰动的视觉稳定性来增强多视图效果。并且设计了一种优化算法来确定每个条纹的位置和具体形状。
•我们在数字和物理空间进行了大量实验来验证我们方法的有效性、隐蔽性和鲁棒性。我们的攻击在数字和物理空间中均表现出优越性能。进行了消融研究、可转移性分析和防御评估,以探讨我们的方法机制及其潜在影响。
