物理对抗补丁攻击与防御技术研究综述.pdfVIP

第10卷第1期信息安全学报Vol.10No.1

2025年1月JournalofCyberSecurityJan.2025

物理对抗补丁攻击与防御技术研究综述

邓欢,黄敏桓,李虎,王彤,况晓辉

军事科学院系统工程研究院信息系统安全技术重点实验室北京中国100101

摘要以深度神经网络为代表的人工智能技术在经济、社会各领域中的应用越来越广泛,但与之相伴的安全性问题也逐渐凸显。

深度神经网络作为概率模型所具备的不确定性,以及参数量大所带来的黑盒性质,使其容易受到对抗样本的攻击,这给基于深

度神经网络的现实世界应用带来了严重的安全威胁。因此,对抗样本研究成为人工智能安全领域的一个热门方向。其中,对抗

样本攻击主要指对深度神经网络模型的输入数据添加一些微小的扰动,使得模型对输入数据的预测产生错误。而物理对抗补丁

攻击则是一种在物理世界中添加对抗性图像贴纸的攻击方式,可以通过将物理对抗补丁手动贴在实际场景中的目标物体上,使

得深度神经网络在图像识别、目标检测等计算机视觉任务中无法正确识别目标物体,出现错误判断。早期研究主要聚焦于数字

空间中对抗样本的构造,通过对数字化样本特征的局部或全局修改来实现扰动的添加,后研究人员利用数字空间中生成的对抗

样本映射到物理世界中进行攻击。随着人工智能技术在现实世界的广泛应用,物理空间中的对抗样本攻击与防御技术渐受关注。

以计算机视觉任务为基础,聚焦物理空间,围绕对样本特征进行局部修改的物理对抗补丁生成技术,对物理对抗补丁攻击与防

御技术进行综述。本文从不同维度梳理分析物理对抗补丁攻击的类型,详细对比分析物理对抗补丁在图像识别、目标检测和其

他计算机视觉任务中的攻击方法,并总结了针对物理对抗补丁攻击的防御方法,后对未来的研究方向进行展望。

关键词对抗样本;深度神经网络;物理对抗补丁;人工智能安全

中图法分类号TP391DOI号10.19363/J.10-1380/tn.2025.01.06

AReviewonPhysicalAdversarialPatchAttacksandDe-

fensesTechniques

DENGHuan,HUANGMinhuan,LIHu,WANGTong,KUANGXiaohui

NationalKeyLaboratoryofScienceandTechnologyonInformationSystemSecurity,InstituteofSystemEngineering,AcademyofMilitarySciences,

Beijing100101,China

AbstractArtificialintelligencetechnology,representedbydeepneuralnetworks,isbeingincreasinglyappliedacross

variouseconomicandsocialsectors.However,theconcomitant