2025-11-25T16:19:18.181446

The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition

Yuan, Han, Li et al.

Recently, traffic sign recognition (TSR) systems have become a prominent target for physical adversarial attacks. These attacks typically rely on conspicuous stickers and projections, or using invisible light and acoustic signals that can be easily blocked. In this paper, we introduce a novel attack medium, i.e., fluorescent ink, to design a stealthy and effective physical adversarial patch, namely FIPatch, to advance the state-of-the-art. Specifically, we first model the fluorescence effect in the digital domain to identify the optimal attack settings, which guide the real-world fluorescence parameters. By applying a carefully designed fluorescence perturbation to the target sign, the attacker can later trigger a fluorescent effect using invisible ultraviolet light, causing the TSR system to misclassify the sign and potentially leading to traffic accidents. We conducted a comprehensive evaluation to investigate the effectiveness of FIPatch, which shows a success rate of 98.31% in low-light conditions. Furthermore, our attack successfully bypasses five popular defenses and achieves a success rate of 96.72%.

academic

Le Voile Fluorescent : Un Patch Adversarial Physique Discret et Efficace Contre la Reconnaissance des Panneaux de Signalisation

Informations de Base

ID de l'article : 2409.12394
Titre : The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition
Auteurs : Shuai Yuan, Xingshuo Han, Hongwei Li, Guowen Xu, Wenbo Jiang, Tao Ni, Qingchuan Zhao, Yuguang Fang
Classification : cs.CV cs.AI
Conférence de publication : 39e Conférence sur les Systèmes de Traitement de l'Information Neuronale (NeurIPS 2025)
Lien de l'article : https://arxiv.org/abs/2409.12394

Résumé

Cet article propose une nouvelle méthode d'attaque adversarial physique contre les systèmes de reconnaissance des panneaux de signalisation (TSR). Les méthodes d'attaque existantes reposent sur des autocollants visibles, des projections ou des signaux invisibles et acoustiques faciles à bloquer. Les auteurs introduisent l'encre fluorescente comme nouveau vecteur d'attaque et conçoivent un patch adversarial physique discret et efficace appelé FIPatch. La méthode modélise d'abord l'effet fluorescent dans le domaine numérique pour déterminer les paramètres d'attaque optimaux, puis applique des perturbations fluorescentes soigneusement conçues sur le panneau cible. L'attaquant peut déclencher l'effet fluorescent par la lumière ultraviolette invisible, causant une mauvaise classification du système TSR et pouvant entraîner des accidents de circulation. Les expériences montrent que FIPatch atteint un taux de réussite de 98,31% en conditions de faible luminosité et peut contourner cinq méthodes de défense principales avec un taux de réussite de 96,72%.

Contexte de Recherche et Motivation

Définition du Problème

Le système de reconnaissance des panneaux de signalisation, en tant que composant clé de la conduite autonome, est vulnérable aux attaques par exemples adversariaux. Les attaques adversariales physiques existantes présentent les limitations suivantes :

Problème de visibilité : Les attaques basées sur des autocollants sont visuellement suspectes et faciles à détecter
Manque de sélectivité : Une fois déployées, elles attaquent indifféremment tous les véhicules
Facilité de défense : Les projections en lumière visible sont faciles à suivre, les lasers infrarouges peuvent être filtrés
Faible praticité : Les attaques par signaux acoustiques sont facilement bloquées par les mécanismes de protection des signaux physiques

Motivation de la Recherche

Les auteurs découvrent que l'encre fluorescente possède des avantages uniques :

Discrétion : Transparente dans un environnement normal, difficile à détecter
Contrôlabilité : N'émet de fluorescence que sous irradiation ultraviolette à une longueur d'onde spécifique
Résistance à la défense : La lumière émise se situe dans le spectre visible, difficile à défendre par filtrage

Contributions Principales

Introduction pionnière de l'encre fluorescente pour construire des patches adversariaux physiques, ouvrant un nouveau vecteur d'attaque
Conception du cadre d'attaque FIPatch, comprenant quatre modules : localisation automatique, modélisation fluorescente, optimisation et amélioration de la robustesse
Proposition de trois objectifs d'attaque : attaque de dissimulation, attaque de génération et attaque de mauvaise classification
Évaluation complète, validant l'efficacité et la robustesse de l'attaque dans les mondes numérique et physique

Détails de la Méthode

Définition de la Tâche

L'attaque FIPatch vise à appliquer des perturbations d'encre fluorescente sur les panneaux de signalisation, déclenchées par la lumière ultraviolette, pour causer trois types d'erreurs du système TSR :

Attaque de dissimulation : Empêcher le système de détecter le panneau de signalisation
Attaque de génération : Faire détecter au système un faux panneau de signalisation
Attaque de mauvaise classification : Faire classer le panneau de signalisation dans une mauvaise catégorie

Architecture du Modèle

1. Module de Localisation Automatique des Panneaux de Signalisation

Adopte une procédure en trois étapes pour localiser précisément la région du panneau de signalisation :

Égalisation d'histogramme : Appliquée lorsque l'image satisfait la condition suivante :

P99(t(x(i,j))) - P1(t(x(i,j))) / max(t(x(i,j))) - min(t(x(i,j))) < Th

Détection des contours de Canny : Utilise des seuils personnalisés pour détecter les contours du panneau de signalisation

Détection basée sur la couleur : Définit des plages de couleur HSV pour détecter les régions jaunes, bleues, rouges et noires

2. Module de Modélisation Fluorescente

Définition de la fluorescence : Une région fluorescente circulaire est paramétrée comme :

θ0 = ((x0, y0), r0, γ0, α0)

où :

(x0, y0) : Coordonnées du centre du cercle
r0 : Rayon
γ0 : Couleur RGB
α0 : Transparence

Fonction de perturbation : La perturbation d'un cercle unique est définie comme :

π(x; θ0)(i,j) = x(i,j) · (1-α(i,j)) + α(i,j) · γ0

Modélisation de l'intensité fluorescente : Simule l'effet de l'irradiation UV par conversion dans l'espace colorimétrique LAB :

LAB(xadv)(i,j) = {
    LAB(x)(i,j) · [l1,1,1]T, (i,j) ∈ A ∧ (i,j) ∉ F
    LAB(x)(i,j) · [l2,1,1]T, (i,j) ∈ F  
    LAB(x)(i,j) · [1,1,1]T,  (i,j) ∉ A
}

3. Module d'Optimisation Fluorescente

Fonction objectif :

min Ex∼X,t∼T [ℓgoal + λℓarea]

Fonctions de perte basées sur l'objectif :

Attaque de dissimulation : ℓgoal = Pr(object) · Pr(class) + βIoU
Attaque de génération : ℓgoal = -Pr(object) · Pr(class)
Attaque de mauvaise classification : ℓgoal = log(py)

Perte de surface : Minimise la surface de perturbation

ℓarea = min Σ(i=1 to K) πri²

Optimisation par essaim de particules : Utilise l'algorithme PSO pour optimiser l'espace des paramètres discrets en configuration boîte noire

4. Module d'Amélioration de la Robustesse

Expectation Over Transformation (EOT) : Étend la distribution des transformations pour s'adapter aux variations d'environnement physique des matériaux fluorescents, incluant :

Variations de l'arrière-plan
Ajustement de la luminosité
Transformations de perspective
Variations de distance
Rotation et flou de mouvement

Transformation de transparence : Simule les variations de transparence de l'encre fluorescente au fil du temps

Points d'Innovation Technique

Modélisation numérique de l'effet fluorescent : Première paramétrisation des propriétés physiques des matériaux fluorescents pour l'optimisation des attaques adversariales
Stratégie d'attaque multi-objectifs : Conception de fonctions de perte différentes pour les tâches de détection et de classification
Considération des contraintes physiques : La localisation automatique garantit que les perturbations ne peuvent être appliquées que sur la surface réelle du panneau
Adaptabilité environnementale : Prend en compte les facteurs d'éclairage, de distance et d'angle du monde réel

Configuration Expérimentale

Ensembles de Données

GTSRB : Ensemble de référence allemand pour la reconnaissance des panneaux de signalisation
CTSRD : Base de données chinoise de reconnaissance des panneaux de signalisation

Métriques d'Évaluation

Taux de réussite de l'attaque (ASR) :

ASR = (1/N) Σ I_{F(x,untri)=y & F(x,tri)≠y}(x)

Méthodes de Comparaison

Évaluation de 10 modèles différents :

Détecteurs : YOLOv3, Faster R-CNN
Classificateurs : CNN, Inception v3, MobileNet v2, GoogleNet, ResNet50, ResNet101, VGG13, VGG16

Détails d'Implémentation

Taille d'entrée : 416×416 pour les détecteurs, 32×32 pour les classificateurs (299×299 pour Inception v3)
Nombre de requêtes : 1500
Paramètres PSO : 30 itérations, 5 redémarrages aléatoires
Équipement d'expérience physique : Tesla Model Y, lampes UV de puissances variées (40W-120W)

Résultats Expérimentaux

Résultats Principaux

Taux de Réussite de l'Attaque dans le Monde Physique

Performance de l'ASR dans différentes conditions d'éclairage ambiant :

Éclairage ambiant (Lux)	Attaque de génération (YOLOv3)	Attaque de dissimulation (YOLOv3)	Attaque de mauvaise classification (ResNet50)
200	98,31%	91,59%	100%
500	98,72%	83,64%	99,35%
1000	95,22%	69,19%	94,26%
2000	94,06%	53,81%	90,59%
3000	89,63%	31,48%	84,12%

Taux de Réussite de l'Attaque dans le Monde Numérique

En configuration boîte noire, l'ASR de la plupart des modèles est proche de 100%, avec un taux de réussite de transfert d'attaque entre 69% et 95%.

Études d'Ablation

Impact des Facteurs Environnementaux

Distance et angle : L'ASR du modèle CNN dépasse 91% à toutes les distances, celui d'Inception v3 chute à 70%-77% à longue distance
Puissance de la lampe UV : À 40W, l'ASR minimum d'Inception v3 est de 77%, à 120W, l'ASR de tous les modèles dépasse 97%
Impact de la vitesse du véhicule : À vitesse <10 km/h, l'ASR dépasse 93%, au-delà de 15 km/h, l'ASR de certains modèles chute significativement
Distance de la lampe UV : À 8 mètres de distance, l'ASR reste supérieur à 81%

Analyse de l'Impact des Paramètres

Rayon : Un rayon plus grand entraîne généralement un ASR plus élevé
Couleur : C(255,255,0) et C(127,127,255) donnent les meilleurs résultats
Position : La région centrale de l'image a le taux de réussite d'attaque le plus élevé
Forme : Les formes circulaires sont plus efficaces que les lignes et les courbes

Capacité de Contournement des Défenses

Test de 5 méthodes de défense principales :

Méthode de défense	ResNet50	Inception v3	Réduction moyenne de l'ASR
Lissage d'image	-0,93%	+0,39%	Impact minime
Compression de caractéristiques	-1,65%	-0,39%	<2%
Randomisation d'entrée	-0,29%	-0,21%	<1%
Entraînement adversarial	-0,84%	+0,42%	Impact minime
Dropout défensif	-2,30%	-2,03%	Le plus efficace (2-3%)

Travaux Connexes

Classification des Attaques Adversariales Physiques

Attaques basées sur des autocollants : Faciles à déployer mais visuellement suspectes, attaques indifférenciées
Attaques basées sur des signaux lumineux :
- Lumière visible (projection/laser) : Facile à suivre
- Laser infrarouge : Peut être filtré par des filtres IR
Attaques basées sur des signaux acoustiques : Facilement bloquées par les mécanismes de protection des signaux physiques

Avantages de cet Article

Par rapport aux méthodes existantes, FIPatch offre :

Une plus grande discrétion (encre transparente)
Une plus grande résistance à la défense (émission en lumière visible)
Un mécanisme de déclenchement flexible (contrôle par lumière UV)
Une meilleure praticité (matériaux à faible coût)

Conclusion et Discussion

Conclusions Principales

Faisabilité de l'attaque par encre fluorescente : Première preuve que les matériaux fluorescents peuvent attaquer efficacement les systèmes TSR
Taux de réussite élevé : Atteint 98,31% de taux de réussite en conditions de faible luminosité
Forte capacité de contournement des défenses : Les méthodes de défense existantes sont pratiquement inefficaces, réduisant au maximum le taux de réussite de 2-3%
Menace réelle : Démontre une menace de sécurité significative dans les environnements réels

Limitations

Sensibilité à la lumière ambiante : Une lumière ambiante forte (>1000 Lux) réduit significativement l'efficacité de l'attaque
Évaluation au niveau du système insuffisante : Les tests se concentrent principalement au niveau des composants IA, manquant d'évaluation complète du système de conduite autonome
Limitation de la distance de détection : Nécessite une distance relativement proche pour une attaque efficace

Directions Futures

Application sur surfaces courbes : Étudier les défis de l'application de matériaux fluorescents sur des surfaces courbes
Mécanismes de défense : Développer des méthodes de défense efficaces contre FIPatch
Coopération multi-véhicules : Exploiter la perception coopérative entre véhicules pour améliorer la robustesse du système

Évaluation Approfondie

Points Forts

Innovation forte : Introduction pionnière de l'encre fluorescente comme vecteur d'attaque adversarial, ouvrant une nouvelle direction de recherche
Méthode complète : Cadre d'attaque complet allant de la modélisation théorique au déploiement pratique
Expériences complètes : Évaluation complète dans les mondes numérique et physique, considérant plusieurs facteurs environnementaux
Valeur pratique élevée : Révèle une nouvelle vulnérabilité de sécurité des systèmes TSR, d'une importance capitale pour la sécurité

Insuffisances

Considérations éthiques : Bien que l'approbation éthique soit déclarée, la méthode d'attaque pourrait être utilisée à des fins malveillantes
Recherche insuffisante sur la défense : Les solutions de défense proposées sont relativement simples, manquant d'études approfondies
Analyse de coûts manquante : Pas d'analyse détaillée du compromis entre le coût d'attaque et la difficulté de détection
Stabilité à long terme : La stabilité à long terme et l'impact environnemental de l'encre fluorescente ne sont pas suffisamment discutés

Impact

Contribution académique : Fournit un nouveau vecteur d'attaque et une méthode de modélisation pour la recherche sur les attaques adversariales
Avertissement de sécurité : Alerte les développeurs de systèmes de conduite autonome sur les menaces de nouvelles attaques physiques
Avancement technologique : Peut promouvoir le développement de systèmes TSR plus robustes et de mécanismes de défense

Scénarios Applicables

Évaluation de sécurité : Évaluer la sécurité et la robustesse des systèmes TSR
Recherche sur la défense : Servir de méthode d'attaque de référence pour développer et tester les mécanismes de défense
Renforcement du système : Guider la conception et le déploiement sécurisés des systèmes de conduite autonome

Références

L'article cite de nombreux travaux connexes, incluant principalement :

Théorie fondamentale des exemples adversariaux (Goodfellow et al., Carlini & Wagner, etc.)
Méthodes d'attaques adversariales physiques (Eykholt et al., Song et al., etc.)
Systèmes de reconnaissance des panneaux de signalisation (YOLO, Faster R-CNN, etc.)
Mécanismes de défense (Cohen et al., Madry et al., etc.)

Évaluation globale : Ceci est un article de recherche en sécurité de haute qualité proposant une méthode d'attaque innovante avec une vérification expérimentale complète. Bien qu'il présente certaines limitations, sa valeur académique et son importance pratique sont considérables, contribuant positivement à l'avancement de la recherche en sécurité des systèmes de conduite autonome.