JP7248807B2 - 敵対的攻撃の自動認識及び分類 - Google Patents
敵対的攻撃の自動認識及び分類 Download PDFInfo
- Publication number
- JP7248807B2 JP7248807B2 JP2021545871A JP2021545871A JP7248807B2 JP 7248807 B2 JP7248807 B2 JP 7248807B2 JP 2021545871 A JP2021545871 A JP 2021545871A JP 2021545871 A JP2021545871 A JP 2021545871A JP 7248807 B2 JP7248807 B2 JP 7248807B2
- Authority
- JP
- Japan
- Prior art keywords
- metrics
- image
- signal
- attack
- attacks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/44—Local feature extraction by analysis of parts of the pattern, e.g. by detecting edges, contours, loops, corners, strokes or intersections; Connectivity analysis, e.g. of connected components
- G06V10/443—Local feature extraction by analysis of parts of the pattern, e.g. by detecting edges, contours, loops, corners, strokes or intersections; Connectivity analysis, e.g. of connected components by matching or filtering
- G06V10/449—Biologically inspired filters, e.g. difference of Gaussians [DoG] or Gabor filters
- G06V10/451—Biologically inspired filters, e.g. difference of Gaussians [DoG] or Gabor filters with interaction between the filter responses, e.g. cortical complex cells
- G06V10/454—Integrating the filters into a hierarchical structure, e.g. convolutional neural networks [CNN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/50—Context or environment of the image
- G06V20/56—Context or environment of the image exterior to a vehicle by using sensors mounted on the vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Multimedia (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Biodiversity & Conservation Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Image Analysis (AREA)
Description
敵対的攻撃の一つのクラス(敵対的クラス)は、単一のタイプの敵対的攻撃、又は同様の操作で画像を操作する敵対的攻撃の群が含まれ得る。画像の「変化無し」、「原因が他で説明可能である画像の変化」(例えば、画像撮影時の妨害)、及び「未知の潜在的攻撃」に対して、さらにクラスが設けられ得る。
更に、有利には、攻撃クラスが認識されることで、特定の攻撃クラスに対して特別に開発された防衛対策(Defenses、Countermeasures)を用いることができる。
-攻撃クラスを認識しないこと
-攻撃されたか否かを早期に認識しないこと
-定義された攻撃クラスに対する防衛対策の使用と開発をしないこと
1)機械学習に基づいて攻撃クラスを認識すること、即ち、特徴が自動的に認識され、これらの特徴に基づく学習方法を使用して様々な攻撃クラスが検出される。
2)攻撃を(オンライン)認識するための自動化された検出システムの範囲内で、上述の攻撃クラスの認識を使用すること。例えば、特定の攻撃に対する標的型オンライン防御のための判断を下すことができる。ここで言う「オンライン」とは、自動化された検出(の前に又はその最中)においてと言う意味である。
本発明は、入力シグナルに基づく検出又は分類のためにニューラルネットワークが使用される場合、任意の入力信号、特に画像シグナル、ビデオシグナル、又はオーディオシグナルに対する任意の攻撃に対して適用することができる。よって、この方法は、医療技術、言語処理、インターネット検索、又は車両システムにおいて使用することができる。
a)基準画像シグナル/基準ビデオシグナル/基準オーディオシグナル、例えばオリジナル画像、及び操作された可能性のある画像シグナル/操作された可能性のあるビデオシグナル/操作された可能性のあるオーディオシグナルを提供するステップ。
b)基準シグナル及び操作された可能性があるシグナルとの間の差異を異なる方法で定量化するn個のメトリクスのセットを算出するステップであって、nは、「1」以上の自然数である、ステップ。
c)算出されたメトリクスに基づいて、n次元の特徴空間を構築するステップ。
d)n次元の特徴空間内で算出されたメトリクスを用いて敵対的攻撃の種類を分類するステップ。
e)敵対的攻撃のクラスを出力するステップ。
自動化された検出システムは、画像シグナル/ビデオシグナル/オーディオシグナルを分類するための(第一の)ニューラルネットワークを備える。この場合、例えば、画像ベースのオブジェクト分類システム又はオーディオベースの言語認識システムであり得る。この自動化された検出システムは、敵対的攻撃によって、攻撃される可能性がある。そのためには、ニューラルネットワークへ入るシグナルを操作する必要がある。基準シグナルと操作された可能性のあるシグナルの比較により、違いが定量化される。(ステップc)「算出されたメトリクスに基づいて、n次元の特徴空間を構築する」と言う表現は、「n個の算出されたメトリクスを備えるn次元の特徴ベクトルを形成する」という表現と同義である。定量化された差分(又はn次元の特徴ベクトル)は、第二のニューラルネットワークによって予め定義され、かつ第二ニューラルネットワークによって訓練された敵対的攻撃のクラスに帰属される。
SSIM;L 1-ノルム、L2-ノルム、KL-ダイバージェンス、MSE(平均二乗誤差)、MAE(平均絶対誤差)、PSNR、L∞ ノルム(L_無限ノルム)、L0 ノルム、エッジメトリクス、ハッシュメトリクス、並びにフーリエ変換メトリクス
から選択される。
既に記載した文献の他、これらのメトリクスに関する詳細は、以下の文献、即ち
非特許文献5、非特許文献6、非特許文献2、非特許文献7
に記載されている。
敵対的攻撃を認識するシステムは、自動化された検出システムに一体化してもよいが、自動化された検出システムの上流に配置されてもよい。
認識ユニットは、攻撃の分類を行い、通常、第二のニューラルネットワークを備える。
認識ユニットは、
・基準画像シグナル/基準ビデオシグナル/基準オーディオシグナル、及び操作された可能性のある画像シグナル/ビデオシグナル/オーディオシグナルとの間の差異を異なる方法で定量化するn個のメトリクスのセットを算出する、かつ
・算出されたメトリクスに基づいて、n次元の特徴空間を構築する、かつ
・n次元の特徴空間内において算出されたメトリクスを用いて敵対的攻撃の種類を分類する、
ように構成されている。
出力インターフェースは、認識ユニットによって割出された敵対的攻撃のクラスを出力することができるように構成されている。
割出されたクラスは、加工された可能性のある画像シグナル/ビデオシグナル/オーディオシグナルが自動化された検出システムに転送される前に、攻撃クラスに対する標的型防衛対策を開始するために、下流の防衛ユニットによって使用することができる。代替的には、認識ユニットによって割出されたクラスは、出力インターフェースを介して自動化された検出システムに直接的に送信することもできる。
従って、本発明は、デジタル電子回路、コンピュータハードウェア、ファームウェア、又はソフトウェアとして実施され得る。
先ず、画像間の違いを定量化するメトリクスのセットが算出される。これらのメトリクスは、オリジナルと改変された可能性のある画像からなる画像ペアから算出される。この場合、算出は、画像全体、又は関連する画像部分に関連付けることができる。したがって、メトリクスは、画像全体、画像の一部分、一連の画像、又は一連の画像部分から算出することができる。
この様なメトリクスを単独で見ると、様々な攻撃の大きな拡散やオーバーラップが頻繁に起こる。
メトリクスの組合わせによって、対応する空間での攻撃が分離可能になる。
-二枚の画像間の違いを定量化するメトリクスの算出。これらのメトリクスは、手動で定義することができる(SSIM;L 1-ノルム、L2-ノルム、KL-ダイバージェンス、MSE、MAE、PSNR、L∞ ノルム、L0 ノルム、エッジメトリクス、ハッシュメトリクス、並びにフーリエ変換メトリクス等)、又は機械学習に基づいて自動的に学習することができる。
-メトリクスに基づく多次元の特徴空間の構築。
-オプション。自動化された特徴抽出、又は手動による最も関連性の高い特徴の選択。
-メトリクスに基づく分類手段の学習。
-画像ペアに対するメトリクスの算出。
-特徴空間内の変換。
-トレーニングフェーズで学習した分類手段の使用。
-深層学習と表現学習を使用することで、特徴抽出、特徴削減及び分類を統合し、1つのステップで一緒に学習することができる。
a)入力データが、敵対的攻撃にさらされる可能性のある画像から構成される。
b)入力画像の他に、攻撃にさらされていない基準画像が存在する。基準画像は、他のカメラセンサの部分画像、時間的にシフトした画像、前若しくは後続のシステムコンポーネントからの画像、又はインターネットからのシーン(例えば、道路交通シーン)の基準画像であり得る。
c)上述の攻撃認識が、攻撃又は攻撃クラスを特定する。
d)攻撃又は攻撃クラスに基づいて、判断システムが判断を下す。この判断は、以下の事項が含まれる。
D1)攻撃を検出しない、又はクリティカルではない攻撃を検出。システムは、通常モードで作動を続ける。
D2)画像上の画素の妨害を引き起こす可能性のあるその他の問題(例えば露出過多、覆い隠し、汚れ)を検出。
D3)クリティカルな攻撃クラス、つまり攻撃の検出。攻撃/攻撃クラスに基づいて選択された防衛戦略による攻撃に対する防衛。
A)車両によって撮影されたデータをオンラインデータベースへの転送
将来的には、車載カメラによって把握されたオリジナル画像を、オンラインデータベース(例えば、クラウド)に無線(V2X通信)で送信できる様になる。クラウドサービスは、送信された画像の更なる処理(自動検出)を実行できる。ここで、攻撃の可能性のあるアタックポイントは、例えばインターネット経由などのデータ転送であり得る。攻撃者は、クラウドサービスによって自動検出する前に、クラウドコンピューティングに必要なインターフェースを介して送信された画像データにアクセスすることができる。基準画像は、以前の処理ステップからなる画像であり、例えば、インターネット上の以前のノード、又は、車両からカメラによって、(車両内に存在する)撮影されたオリジナル画像である。攻撃によるアタック及び攻撃クラスは、画像と基準画像に基づいて識別できる。攻撃のチェックは、定義された間隔、例えば、100画像送信毎に行うことができる。
ここでは、一つ又は複数のカメラセンサのソフトウェアが、攻撃を受ける可能性がある。基準画像は、異なるカメラからの同じシーンを、オーバーラップして撮影したもの又は時間的にシフトして撮影したものであり得る。攻撃が疑われる場合、攻撃認識を使用して攻撃クラスを決定し、適切な防衛メカニズムを選択することができる。
敵対的攻撃のクラスは、インターフェース11を介して出力される。様々な実際の敵対的攻撃クラスに加え、どの敵対的攻撃にも対応しないクラスも指定できる。
示されているカメラシステムは、画像データを中間ユニット5へ送信することができる一体化したデータインターフェース4を備えるカメラ3を備える。オプションとして、画像データをオリジナル画像として認識ユニット10へ直接送信することもできる。中間ユニット5からは、画像データがさらにターゲットユニット6へ送信され、そして、オプションとして、認識ユニット10へも送信される。画像データの操作をチェックできるように、画像データは、ターゲットユニット6から認識ユニット10へ送信される。ターゲットユニット6は、例えば、オンラインデータベース、クラウド、又はバックボーンサーバであり得る。ここで、攻撃の可能性のあるアタックポイントは、例えばインターネット経由で行われるデータ転送であり得る。中間にあるユニット5は、例えば、そのインターネットの画像データを基準画像として使用することができる、インターネット内の前のノードであり得る。車両で撮影された画像は、一体化したデータインターフェース4から基準画像として認識ユニット10に直接送信することができる。攻撃によるアタック及び攻撃クラスは、画像と関連する基準画像に基づいて識別できる。攻撃のチェックは、定義された間隔、例えば100画像送信毎に実行できる。
メトリクスは、基準画像又はオリジナル画像、並びに、操作された可能性のある画像からなる画像ペアに基づいて算出される。この場合、算出を、画像全体、又は関連する画像部分に適用することができる。
この様なメトリクスを単独で見ると、様々な攻撃の大きな拡散やオーバーラップが頻繁に起こる。図3では、L_infノルム(L∞ ノルム)のばらつきは、使用されたメトリクスとして示されている。ネットワークアーキテクチャとして、VGG16、ResNet50モデル、及びInceptionV3を使用する。VGG16、ResNet50、及びInceptionV3は、主に画像処理の分野で、特にオブジェクト認識と分類に使用される、よく知られて広く使用されているニューラルネットワークのアーキテクチャである。この場合、アーキテクチャは、結合された処理ステップの複雑さとネットワーク内の分岐が、基本的には相違する。その際、表面的な評価では、基礎となる理論的なモデルに基づいて、VGG16は最も複雑ではなく、InceptionV3が最も複雑な構造であると言える。
図3で評価された攻撃は、(左から右、又は凡例では、上から下に):L-BFGS攻撃(L-BFGS Attack)、勾配符号攻撃(Gradient Sign Attack)、顕著性マップ攻撃(Saliency Map Attack)、DeepFool攻撃、ADef攻撃、勾配攻撃(Gradient Attack)、反復勾配攻撃(Iterative Gradient Attack)、反復勾配符号攻撃(Iterative Gradient Sign Attack)、ローカル検索攻撃(Local Search Attack)、及びコントラスト解像度攻撃(Contrast Resolution Attack)。(アーキテクチャに対する)攻撃は、メトリクスで測定された特徴的な拡散(フットプリント)を有している。
12回の攻撃からなるセット(即ち、8.33%の推定確率)における、様々な標準分離手段の精度、並びに、メトリクスの様々な組合わせを表1にまとめた:
ステップS12では、オリジナル画像(基準画像)と操作された可能性のある画像が提供される。
ステップS14では、異なる方法で、オリジナル画像と操作された可能性のある画像との間の差異を異なる方法で定量化するn個のマトリクスのセットが算出される。ここでは、nは、「1」よりも大きな自然数である。
ステップS16では、n個の算出されたメトリクスに基づいて、n次元の特徴空間が構築される。言い換えれば、n個の算出されたメトリクスを備える特徴ベクトルが形成される。
オプションとして、最も関連性の高いメトリクスを選択することができ、これにより、次元nが減少する。最も関連性の高いメトリクスの選択は、特徴抽出(Feature Extraction)によって行うことができる、又は手動で選択することによって行うことができる。
ステップS18では、特徴ベクトルが分類される。分類手段は、異なる敵対的攻撃クラスと、それに対応するメトリクス又はメトリクスベクトルからなるトレーニングデータを用いて事前にトレーニングさせた。
好ましくは、深層学習と表現学習を使用して、特徴抽出(“Feature Extraction”)、特徴削減(“Dimensionality Reduction”)及び分類(“Classification”)を統合し、1つのステップで一緒に学習することができる。
特に、ステップS22において、特定された攻撃クラスに基づいて判断を行う判断システムに対して出力できる。これは、例えば、以下を含む。
D1)攻撃を検出しない、又はクリティカルではない攻撃の検出。この場合では、システムは、通常モードで作動を続ける。
D2)画像上の画素の妨害を引き起こす可能性のあるその他の問題(例えば、露出過多、覆い隠し、汚れ)の検出。
D3)(クリティカルな)攻撃クラス、つまり攻撃の検出。攻撃クラスに基づいて選択された防衛戦略による攻撃に対する防衛、即ち、ステップS30における特定の対策の開始。
なお、本願は、特許請求の範囲に記載の発明に関するものであるが、他の観点として以下を含む。
1.自動化された検出システムに対する敵対的攻撃を認識及び分類する方法であって、
当該方法は、以下のステップ、即ち、
a)基準画像シグナル/基準ビデオシグナル/基準オーディオシグナル、及び操作された可能性のある画像シグナル/ビデオシグナル/オーディオシグナルの提供するステップ(S12)と、
b)基準シグナル及び操作された可能性のあるシグナルとの間の違いを、様々な方法で定量化するn個のメトリクスのセットを算出するステップ(14)であって、nは、「1」以上の自然数である、ステップ(S14)と、
c)算出されたメトリクスに基づいて、n次元の特徴空間を構築するステップ(S16)と、
d)n次元の特徴空間内において算出されたメトリクスを用いて敵対的攻撃の種類を分類するステップ(S18)と、
e)敵対的攻撃のクラスを出力するステップ(S20)とを備えることを特徴とする方法。
2.f)危機的(E1)であるとして認識された敵対的攻撃のクラスに対して特定の対策を開始するステップ(S30)を備えることを特徴とする上記1に記載の方法。
3.自動化された検出システムは、車両のカメラベースのセンサシステムを備え、操作された可能性のあるシグナルが、前記カメラベースのセンサシステムの少なくとも一台のカメラによって撮影された画像シグナル又はビデオシグナルであることを特徴とする上記1又は2に記載の方法。
4.敵対的攻撃を認識する方法は、車両からオンラインデータベースへのシグナルデータ転送中に実施されることを特徴とする上記3に記載の方法。
5.検出システムは、車両内のマルチカメラシステムを備え、操作された可能性のある画像シグナル又はビデオシグナル、及び基準画像シグナル又はビデオシグナルが、異なる単一カメラによる同じシーンを、オーバーラップして撮影したもの又は時間的にシフトして撮影したものであることを特徴とする上記3に記載の方法。
6.メトリクスの算出は、操作された可能性のある画像全体に対して実施されることを特徴とする上記3から5までの何れか一つに記載の方法。
7.メトリクスの算出は、操作された可能性のある画像の一つの画像領域に対して実施されることを特徴とする上記3から5までの何れか一つに記載の方法。
8.メトリクスの算出は、一連の画像、又は一連の画像領域に対して実施されることを特徴とする上記3から7までの何れか一つに記載の方法。
9.n個のメトリクスが複数のメトリクスを含み、このメトリクスが、以下の群、即ち、
SSIM;L 1 -ノルム、L 2 -ノルム、KL-ダイバージェンス、MSE、MAE、PSNR、L ∞ ノルム、L 0 ノルム、エッジメトリクス、ハッシュメトリクス、及びフーリエ変換メトリクス、
から選択されることを特徴とする上記3から8までの何れか一つに記載の方法。
10.サブセットは、最も関連性の高いm個のメトリクスを抽出するためにn個のメトリクスから作成され、mは、nよりも小さい自然数であり、かつステップd)では、m次元の特徴空間内において算出されたメトリクスを用いて分類することを特徴とする上記1から9までのうち何れか一つに記載の方法。
11.サブセットの作成が、機械学習に基づいて実施され、かつこれらのメトリクスが、表現学習を使用して自動的に学習されることを特徴とする上記10に記載の方法。
12.自動化された検出システムに対する敵対的攻撃を認識するシステムであって、
入力インターフェース、認識ユニット(10)、及び出力インターフェース(11)を備える当該システムにおいて、
-入力インターフェースが、基準画像シグナル/基準ビデオシグナル/基準オーディオシグナル、及び操作された可能性のある画像シグナル/ビデオシグナル/オーディオシグナルを受信し、認識ユニット(10)へ提供するように構成されていて、
-認識ユニット(10)は、
・基準画像シグナル/基準ビデオシグナル/基準オーディオシグナル、及び操作された可能性のある画像シグナル/ビデオシグナル/オーディオシグナルとの間の違いを、様々な方法で定量するn個のメトリクスのセットを算出する、かつ
・算出されたメトリクスに基づいて、n次元の特徴空間を構築する、かつ
・n次元の特徴空間内において算出されたメトリクスを用いて敵対的攻撃の種類を分類する、
ように構成されていて、並びに
-出力インターフェース(11)は、認識ユニット(10)によって割出された敵対的攻撃のクラスを出力することができるように構成されていることを特徴とするシステム。
Claims (12)
- 自動化された検出システムに対する敵対的攻撃を認識及び分類する方法であって、
当該方法は、以下のステップ、即ち、
a)基準画像シグナル、基準ビデオシグナル、又は基準オーディオシグナル、及び操作された可能性のある画像シグナル、ビデオシグナル、又はオーディオシグナルの提供するステップ(S12)と、
b)基準シグナル及び操作された可能性のあるシグナルとの間の違いを、様々な方法で定量化するn個のメトリクスのセットを算出するステップ(14)であって、nは、「1」以上の自然数である、ステップ(S14)と、
c)算出されたメトリクスに基づいて、n次元の特徴空間を構築するステップ(S16)と、
d)n次元の特徴空間内において算出されたメトリクスを用いて敵対的攻撃の種類を分類するステップ(S18)と、
e)敵対的攻撃のクラスを出力するステップ(S20)とを備えることを特徴とする方法。 - f)危機的(E1)であるとして認識された敵対的攻撃のクラスに対して特定の対策を開始するステップ(S30)を備えることを特徴とする請求項1に記載の方法。
- 自動化された検出システムは、車両のカメラベースのセンサシステムを備え、操作された可能性のあるシグナルが、前記カメラベースのセンサシステムの少なくとも一台のカメラによって撮影された画像シグナル又はビデオシグナルであることを特徴とする請求項1又は2に記載の方法。
- 敵対的攻撃を認識する方法は、車両からオンラインデータベースへのシグナルデータ転送中に実施されることを特徴とする請求項3に記載の方法。
- 検出システムは、車両内のマルチカメラシステムを備え、操作された可能性のある画像シグナル又はビデオシグナル、及び基準画像シグナル又はビデオシグナルが、異なる単一カメラによる同じシーンを、オーバーラップして撮影したもの又は時間的にシフトして撮影したものであることを特徴とする請求項3に記載の方法。
- メトリクスの算出は、操作された可能性のある画像全体に対して実施されることを特徴とする請求項3から5までの何れか一項に記載の方法。
- メトリクスの算出は、操作された可能性のある画像の一つの画像領域に対して実施されることを特徴とする請求項3から5までの何れか一項に記載の方法。
- メトリクスの算出は、一連の画像、又は一連の画像領域に対して実施されることを特徴とする請求項3から7までの何れか一項に記載の方法。
- n個のメトリクスが複数のメトリクスを含み、このメトリクスが、以下の群、即ち、
SSIM;L1-ノルム、L2-ノルム、KL-ダイバージェンス、MSE、MAE、PSNR、L∞ノルム、L0ノルム、エッジメトリクス、ハッシュメトリクス、及びフーリエ変換メトリクス、
から選択されることを特徴とする請求項3から8までの何れか一項に記載の方法。 - サブセットは、最も関連性の高いm個のメトリクスを抽出するためにn個のメトリクスから作成され、mは、nよりも小さい自然数であり、かつステップd)では、m次元の特徴空間内において算出されたメトリクスを用いて分類することを特徴とする請求項1から9までのうち何れか一項に記載の方法。
- サブセットの作成が、機械学習に基づいて実施され、かつこれらのメトリクスが、表現学習を使用して自動的に学習されることを特徴とする請求項10に記載の方法。
- 自動化された検出システムに対する敵対的攻撃を認識するシステムであって、
入力インターフェース、認識ユニット(10)、及び出力インターフェース(11)を備える当該システムにおいて、
-入力インターフェースが、基準画像シグナル、基準ビデオシグナル、又は基準オーディオシグナル、及び操作された可能性のある画像シグナル、ビデオシグナル、又はオーディオシグナルを受信し、認識ユニット(10)へ提供するように構成されていて、
-認識ユニット(10)は、
・基準画像シグナル、基準ビデオシグナル、又は基準オーディオシグナル、及び操作された可能性のある画像シグナル、ビデオシグナル、又はオーディオシグナルとの間の違いを、様々な方法で定量するn個のメトリクスのセットを算出する、かつ
・算出されたメトリクスに基づいて、n次元の特徴空間を構築する、かつ
・n次元の特徴空間内において算出されたメトリクスを用いて敵対的攻撃の種類を分類する、
ように構成されていて、並びに
-出力インターフェース(11)は、認識ユニット(10)によって割出された敵対的攻撃のクラスを出力することができるように構成されていることを特徴とするシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019204318.6 | 2019-03-28 | ||
DE102019204318.6A DE102019204318A1 (de) | 2019-03-28 | 2019-03-28 | Automatische Erkennung und Klassifizierung von Adversarial Attacks |
PCT/DE2020/200018 WO2020192849A1 (de) | 2019-03-28 | 2020-03-17 | Automatische erkennung und klassifizierung von adversarial attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022519868A JP2022519868A (ja) | 2022-03-25 |
JP7248807B2 true JP7248807B2 (ja) | 2023-03-29 |
Family
ID=70056780
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021545871A Active JP7248807B2 (ja) | 2019-03-28 | 2020-03-17 | 敵対的攻撃の自動認識及び分類 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220174089A1 (ja) |
JP (1) | JP7248807B2 (ja) |
CN (1) | CN113474792A (ja) |
DE (2) | DE102019204318A1 (ja) |
WO (1) | WO2020192849A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021171090A1 (en) * | 2020-02-28 | 2021-09-02 | Darktrace, Inc. | An artificial intelligence adversary red team |
EP3944159A1 (en) * | 2020-07-17 | 2022-01-26 | Tata Consultancy Services Limited | Method and system for defending universal adversarial attacks on time-series data |
US12008079B1 (en) * | 2020-08-03 | 2024-06-11 | Hrl Laboratories, Llc | Process to make machine object detection robust to adversarial attacks |
DE102020213058A1 (de) | 2020-10-15 | 2022-04-21 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zum teilautomatisierten oder vollautomatisierten Steuern eines Fahrzeugs |
CN112949678B (zh) * | 2021-01-14 | 2023-05-02 | 西安交通大学 | 深度学习模型对抗样本生成方法、***、设备及存储介质 |
DE102021112169A1 (de) | 2021-05-10 | 2022-11-10 | Bayerische Motoren Werke Aktiengesellschaft | Erkennen eines manipulierten Eingangssignals für einen Klassifikator eines Kraftfahrzeugs |
JP6971514B1 (ja) * | 2021-07-13 | 2021-11-24 | 望 窪田 | 情報処理装置、情報処理方法及びプログラム |
CN113879334A (zh) * | 2021-09-30 | 2022-01-04 | 郑州师范学院 | 一种适用于车辆自动驾驶的机器学习对抗攻击识别*** |
CN115021965B (zh) * | 2022-05-06 | 2024-04-02 | 中南民族大学 | 一种基于生成式对抗网络的入侵检测***的攻击数据的生成方法及*** |
KR102615055B1 (ko) * | 2022-08-03 | 2023-12-19 | 숭실대학교 산학협력단 | 적대적 이미지 복원 시스템 및 적대적 이미지 복원 방법 |
CN116843921A (zh) * | 2023-09-01 | 2023-10-03 | 南京棋谋智胜信息科技有限公司 | 基于扰动的显著性图生成算法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010087124A1 (ja) | 2009-01-29 | 2010-08-05 | 日本電気株式会社 | 特徴量選択装置 |
WO2014042514A2 (en) | 2012-09-12 | 2014-03-20 | Mimos Berhad | A surveillance system and a method for tampering detection and correction |
JP2014182440A (ja) | 2013-03-18 | 2014-09-29 | Fujitsu Ltd | 映像特徴生成システム、映像特徴生成方法、映像特徴生成プログラム、映像照合システム、映像照合方法、映像照合プログラム |
JP2016157455A (ja) | 2016-03-30 | 2016-09-01 | 株式会社ユピテル | ドライブレコーダおよびプログラム |
JP2018165926A (ja) | 2017-03-28 | 2018-10-25 | 株式会社Nttドコモ | 類似画像検索装置 |
WO2018230366A1 (ja) | 2017-06-16 | 2018-12-20 | ソニーセミコンダクタソリューションズ株式会社 | 信号処理装置および方法、並びにプログラム |
JP2019036865A (ja) | 2017-08-17 | 2019-03-07 | 沖電気工業株式会社 | 通信解析装置、通信解析プログラム、及び通信解析方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012045317A1 (en) * | 2010-10-04 | 2012-04-12 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Detecting manipulations of digital video stream data |
CN102184537B (zh) * | 2011-04-22 | 2013-02-13 | 西安理工大学 | 基于小波变换和主成分分析的图像区域篡改检测方法 |
DE102011056671A1 (de) * | 2011-12-20 | 2013-06-20 | Conti Temic Microelectronic Gmbh | Bestimmung eines Höhenprofils einer Fahrzeugumgebung mittels einer 3D-Kamera |
DE102013209940A1 (de) * | 2013-05-28 | 2014-12-04 | Conti Temic Microelectronic Gmbh | Kamerasystem für Fahrzeuge |
US10339362B2 (en) * | 2016-12-08 | 2019-07-02 | Veridium Ip Limited | Systems and methods for performing fingerprint based user authentication using imagery captured using mobile devices |
CN105261013B (zh) * | 2015-09-25 | 2018-04-13 | 孙高磊 | 一种扫描图像质量综合评价方法及评价*** |
US9971953B2 (en) * | 2015-12-10 | 2018-05-15 | Intel Corporation | Visual recognition using deep learning attributes |
US10800434B1 (en) * | 2020-03-07 | 2020-10-13 | James E. Beecham | Method and system for mitigating anticipated risks in self-driving vehicles via use of malicious roadway falsified appearances |
US10733294B2 (en) * | 2017-09-11 | 2020-08-04 | Intel Corporation | Adversarial attack prevention and malware detection system |
CN108335289A (zh) * | 2018-01-18 | 2018-07-27 | 天津大学 | 一种全参考融合的图像客观质量评价方法 |
US10944767B2 (en) * | 2018-02-01 | 2021-03-09 | International Business Machines Corporation | Identifying artificial artifacts in input data to detect adversarial attacks |
CN108399382A (zh) * | 2018-02-13 | 2018-08-14 | 阿里巴巴集团控股有限公司 | 车险图像处理方法和装置 |
CN108491837B (zh) * | 2018-03-07 | 2021-12-17 | 浙江工业大学 | 一种提高车牌攻击鲁棒性的对抗攻击方法 |
US11132444B2 (en) * | 2018-04-16 | 2021-09-28 | International Business Machines Corporation | Using gradients to detect backdoors in neural networks |
CN113811473A (zh) * | 2019-03-29 | 2021-12-17 | 英特尔公司 | 自主交通工具*** |
US11042799B2 (en) * | 2019-08-20 | 2021-06-22 | International Business Machines Corporation | Cohort based adversarial attack detection |
-
2019
- 2019-03-28 DE DE102019204318.6A patent/DE102019204318A1/de not_active Withdrawn
-
2020
- 2020-03-17 DE DE112020001597.1T patent/DE112020001597A5/de active Pending
- 2020-03-17 WO PCT/DE2020/200018 patent/WO2020192849A1/de active Application Filing
- 2020-03-17 US US17/593,558 patent/US20220174089A1/en active Pending
- 2020-03-17 CN CN202080016237.2A patent/CN113474792A/zh active Pending
- 2020-03-17 JP JP2021545871A patent/JP7248807B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010087124A1 (ja) | 2009-01-29 | 2010-08-05 | 日本電気株式会社 | 特徴量選択装置 |
WO2014042514A2 (en) | 2012-09-12 | 2014-03-20 | Mimos Berhad | A surveillance system and a method for tampering detection and correction |
JP2014182440A (ja) | 2013-03-18 | 2014-09-29 | Fujitsu Ltd | 映像特徴生成システム、映像特徴生成方法、映像特徴生成プログラム、映像照合システム、映像照合方法、映像照合プログラム |
JP2016157455A (ja) | 2016-03-30 | 2016-09-01 | 株式会社ユピテル | ドライブレコーダおよびプログラム |
JP2018165926A (ja) | 2017-03-28 | 2018-10-25 | 株式会社Nttドコモ | 類似画像検索装置 |
WO2018230366A1 (ja) | 2017-06-16 | 2018-12-20 | ソニーセミコンダクタソリューションズ株式会社 | 信号処理装置および方法、並びにプログラム |
JP2019036865A (ja) | 2017-08-17 | 2019-03-07 | 沖電気工業株式会社 | 通信解析装置、通信解析プログラム、及び通信解析方法 |
Also Published As
Publication number | Publication date |
---|---|
DE112020001597A5 (de) | 2022-02-24 |
JP2022519868A (ja) | 2022-03-25 |
US20220174089A1 (en) | 2022-06-02 |
DE102019204318A1 (de) | 2020-10-01 |
WO2020192849A1 (de) | 2020-10-01 |
CN113474792A (zh) | 2021-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7248807B2 (ja) | 敵対的攻撃の自動認識及び分類 | |
US10181090B2 (en) | Secure and private tracking across multiple cameras | |
Wu et al. | Deep matching and validation network: An end-to-end solution to constrained image splicing localization and detection | |
CN106415594B (zh) | 用于面部验证的方法和*** | |
US20200012923A1 (en) | Computer device for training a deep neural network | |
US11321945B2 (en) | Video blocking region selection method and apparatus, electronic device, and system | |
CN110674800B (zh) | 一种人脸活体检测方法、装置、电子设备及存储介质 | |
US20220327189A1 (en) | Personalized biometric anti-spoofing protection using machine learning and enrollment data | |
CN112614187A (zh) | 回环检测方法、装置、终端设备和可读存储介质 | |
KR20150062880A (ko) | 특징점 매칭을 이용한 영상매칭 방법 | |
CN108875505B (zh) | 基于神经网络的行人再识别方法和装置 | |
CN110610123A (zh) | 一种多目标车辆检测方法、装置、电子设备及存储介质 | |
Mehta et al. | Face detection and tagging using deep learning | |
US20230104196A1 (en) | Device and a Method for Processing Data Sequences Using a Convolutional Neural Network | |
KR20200069911A (ko) | 영상들 간에 객체와 객체 위치의 동일성을 식별하기 위한 방법 및 장치 | |
CN112580480A (zh) | 一种高光谱遥感影像分类方法及装置 | |
Wohlhart et al. | Discriminative Hough Forests for Object Detection. | |
Cannas et al. | Panchromatic imagery copy-paste localization through data-driven sensor attribution | |
KR20170005273A (ko) | 얼굴 정렬을 위한 특징점별 특징을 추출하기 위한 서술자 생성 시스템 및 이를 이용한 특징점별 서술자 생성 방법 | |
CN112381149A (zh) | 一种基于深度学习用于源相机识别的合理对抗分析方法 | |
WO2020192868A1 (en) | Event detection | |
Hsiao et al. | More accurate and robust PRNU-based source camera identification with 3-step 3-class approach | |
WO2022217294A1 (en) | Personalized biometric anti-spoofing protection using machine learning and enrollment data | |
JP2018036870A (ja) | 画像処理装置及びプログラム | |
Bhabad et al. | Object detection for night vision using deep learning algorithms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220808 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220810 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20221107 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20230105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230222 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230316 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7248807 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |