2025-11-25T16:19:18.181446

The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition

Yuan, Han, Li et al.

Recently, traffic sign recognition (TSR) systems have become a prominent target for physical adversarial attacks. These attacks typically rely on conspicuous stickers and projections, or using invisible light and acoustic signals that can be easily blocked. In this paper, we introduce a novel attack medium, i.e., fluorescent ink, to design a stealthy and effective physical adversarial patch, namely FIPatch, to advance the state-of-the-art. Specifically, we first model the fluorescence effect in the digital domain to identify the optimal attack settings, which guide the real-world fluorescence parameters. By applying a carefully designed fluorescence perturbation to the target sign, the attacker can later trigger a fluorescent effect using invisible ultraviolet light, causing the TSR system to misclassify the sign and potentially leading to traffic accidents. We conducted a comprehensive evaluation to investigate the effectiveness of FIPatch, which shows a success rate of 98.31% in low-light conditions. Furthermore, our attack successfully bypasses five popular defenses and achieves a success rate of 96.72%.

academic

Флуоресцентная завеса: скрытая и эффективная физическая противодействующая патч-атака на системы распознавания дорожных знаков

Основная информация

ID статьи: 2409.12394
Название: The Fluorescent Veil: A Stealthy and Effective Physical Adversarial Patch Against Traffic Sign Recognition
Авторы: Shuai Yuan, Xingshuo Han, Hongwei Li, Guowen Xu, Wenbo Jiang, Tao Ni, Qingchuan Zhao, Yuguang Fang
Классификация: cs.CV cs.AI
Конференция: 39-я конференция по нейронным системам обработки информации (NeurIPS 2025)
Ссылка на статью: https://arxiv.org/abs/2409.12394

Аннотация

В данной статье предлагается новый метод физической противодействующей атаки на системы распознавания дорожных знаков (TSR). Существующие методы атак полагаются на заметные наклейки, проекции или легко блокируемые невидимые световые и акустические сигналы. Авторы вводят флуоресцентные чернила в качестве нового средства атаки и разрабатывают скрытую и эффективную физическую противодействующую патч FIPatch. Метод сначала моделирует флуоресцентный эффект в цифровой области для определения оптимальных параметров атаки, затем применяет тщательно разработанные флуоресцентные возмущения на целевой знак. Атакующий может запустить флуоресцентный эффект с помощью невидимого ультрафиолетового света, вызывая неправильную классификацию системой TSR и потенциально провоцируя дорожные происшествия. Эксперименты показывают, что FIPatch достигает успешности 98,31% в условиях низкой освещённости и может обойти пять основных методов защиты с успешностью 96,72%.

Исследовательский контекст и мотивация

Определение проблемы

Системы распознавания дорожных знаков как ключевой компонент автономного вождения уязвимы для атак противодействующих примеров. Существующие физические противодействующие атаки имеют следующие ограничения:

Проблема видимости: атаки на основе наклеек визуально подозрительны и легко обнаруживаются
Отсутствие избирательности: после развёртывания атакуют все транспортные средства без разбора
Легкость защиты: видимые световые проекции легко отслеживаются, инфракрасные лазеры могут быть заблокированы фильтрами
Низкая практичность: акустические сигналы легко блокируются механизмами физической защиты

Исследовательская мотивация

Авторы обнаружили, что флуоресцентные чернила обладают уникальными преимуществами:

Скрытность: прозрачны в нормальной среде, трудно заметны
Управляемость: проявляют флуоресцентный эффект только при облучении ультрафиолетовым светом определённой длины волны
Устойчивость к защите: испускаемый свет находится в видимом спектре, трудно поддаётся фильтрации

Основные вклады

Первое применение флуоресцентных чернил для построения физической противодействующей патч-атаки, открывающее новый вектор атаки
Разработка фреймворка атаки FIPatch, включающего четыре модуля: автоматическое позиционирование, флуоресцентное моделирование, оптимизацию и повышение робастности
Предложение трёх целевых атак: скрытая атака, генеративная атака и атака неправильной классификации
Проведение комплексной оценки, проверяющей эффективность и робастность атак в цифровом и физическом мире

Подробное описание метода

Определение задачи

Атака FIPatch направлена на применение флуоресцентных чернил на дорожные знаки, вызывая при запуске ультрафиолетовым светом три типа ошибок в системе TSR:

Скрытая атака: система не может обнаружить дорожный знак
Генеративная атака: система обнаруживает поддельный дорожный знак
Атака неправильной классификации: система классифицирует знак в неправильную категорию

Архитектура модели

1. Модуль автоматического позиционирования дорожных знаков

Использует трёхэтапный процесс точного позиционирования области дорожного знака:

Выравнивание гистограммы: применяется, когда изображение удовлетворяет условию:

P99(t(x(i,j))) - P1(t(x(i,j))) / max(t(x(i,j))) - min(t(x(i,j))) < Th

Обнаружение границ Кэнни: использует пользовательские пороги для обнаружения границ дорожного знака

Обнаружение на основе цвета: определяет диапазоны цветов HSV для обнаружения жёлтых, синих, красных и чёрных областей

2. Модуль флуоресцентного моделирования

Определение флуоресценции: круглая флуоресцентная область параметризуется как:

θ0 = ((x0, y0), r0, γ0, α0)

где:

(x0, y0): координаты центра
r0: радиус
γ0: цвет RGB
α0: прозрачность

Функция возмущения: возмущение отдельного круга определяется как:

π(x; θ0)(i,j) = x(i,j) · (1-α(i,j)) + α(i,j) · γ0

Моделирование интенсивности флуоресценции: моделирует эффект УФ-облучения через преобразование цветового пространства LAB:

LAB(xadv)(i,j) = {
    LAB(x)(i,j) · [l1,1,1]T, (i,j) ∈ A ∧ (i,j) ∉ F
    LAB(x)(i,j) · [l2,1,1]T, (i,j) ∈ F  
    LAB(x)(i,j) · [1,1,1]T,  (i,j) ∉ A
}

3. Модуль оптимизации флуоресценции

Целевая функция:

min Ex∼X,t∼T [ℓgoal + λℓarea]

Функции потерь на основе целей:

Скрытая атака: ℓgoal = Pr(object) · Pr(class) + βIoU
Генеративная атака: ℓgoal = -Pr(object) · Pr(class)
Атака неправильной классификации: ℓgoal = log(py)

Потеря площади: минимизирует площадь возмущения

ℓarea = min Σ(i=1 to K) πri²

Оптимизация роем частиц: использует алгоритм PSO для оптимизации дискретного пространства параметров в чёрном ящике

4. Модуль повышения робастности

Ожидание преобразований (EOT): расширяет распределение преобразований для адаптации к физическим изменениям окружающей среды флуоресцентного материала, включая:

Изменения фона
Регулировка яркости
Перспективные преобразования
Изменения расстояния
Вращение и размытие движения

Преобразование прозрачности: моделирует изменение прозрачности флуоресцентных чернил со временем

Технические инновации

Цифровое моделирование флуоресцентного эффекта: впервые параметризирует физические свойства флуоресцентных материалов для оптимизации противодействующей атаки
Стратегия многоцелевой атаки: разрабатывает различные функции потерь для задач обнаружения и классификации
Учёт физических ограничений: автоматическое позиционирование гарантирует, что возмущение применяется только на поверхность реального знака
Адаптивность к окружающей среде: учитывает влияние освещения, расстояния, угла и других факторов реального мира

Экспериментальная установка

Наборы данных

GTSRB: немецкий эталонный набор данных для распознавания дорожных знаков
CTSRD: китайская база данных распознавания дорожных знаков

Метрики оценки

Коэффициент успешности атаки (ASR):

ASR = (1/N) Σ I_{F(x,untri)=y & F(x,tri)≠y}(x)

Методы сравнения

Оценены 10 различных моделей:

Детекторы: YOLOv3, Faster R-CNN
Классификаторы: CNN, Inception v3, MobileNet v2, GoogleNet, ResNet50, ResNet101, VGG13, VGG16

Детали реализации

Размер входа: 416×416 для детекторов, 32×32 для классификаторов (299×299 для Inception v3)
Количество запросов: 1500
Параметры PSO: 30 итераций, 5 случайных перезапусков
Оборудование физических экспериментов: Tesla Model Y, УФ-лампы различной мощности (40W-120W)

Результаты экспериментов

Основные результаты

Коэффициент успешности атаки в физическом мире

Производительность ASR в различных условиях освещения окружающей среды:

Освещение окружающей среды (Люкс)	Генеративная атака (YOLOv3)	Скрытая атака (YOLOv3)	Атака неправильной классификации (ResNet50)
200	98,31%	91,59%	100%
500	98,72%	83,64%	99,35%
1000	95,22%	69,19%	94,26%
2000	94,06%	53,81%	90,59%
3000	89,63%	31,48%	84,12%

Коэффициент успешности атаки в цифровом мире

В условиях чёрного ящика большинство моделей имеют ASR близкий к 100%, коэффициент успешности трансферной атаки находится в диапазоне 69%-95%.

Абляционные исследования

Влияние факторов окружающей среды

Расстояние и угол: модель CNN имеет ASR>91% на всех расстояниях, Inception v3 снижается до 70%-77% на больших расстояниях
Мощность УФ-лампы: при 40W Inception v3 имеет минимальный ASR 77%, при 120W все модели имеют ASR>97%
Влияние скорости автомобиля: при скорости <10 км/ч ASR>93%, при превышении 15 км/ч ASR некоторых моделей значительно снижается
Расстояние УФ-лампы: на расстоянии 8 метров всё ещё наблюдается ASR выше 81%

Анализ влияния параметров

Радиус: больший радиус обычно приводит к более высокому ASR
Цвет: C(255,255,0) и C(127,127,255) показывают лучшие результаты
Позиция: центральные области изображения имеют наибольший коэффициент успешности атаки
Форма: круги более эффективны, чем линии и кривые

Способность обхода защиты

Протестированы 5 основных методов защиты:

Метод защиты	ResNet50	Inception v3	Среднее снижение ASR
Сглаживание изображения	-0,93%	+0,39%	Минимальное влияние
Сжатие признаков	-1,65%	-0,39%	<2%
Рандомизация входа	-0,29%	-0,21%	<1%
Противодействующее обучение	-0,84%	+0,42%	Минимальное влияние
Защитный Dropout	-2,30%	-2,03%	Наиболее эффективно (2-3%)

Связанные работы

Классификация физических противодействующих атак

Атаки на основе наклеек: легко развёртываются, но визуально подозрительны, атакуют без разбора
Атаки на основе световых сигналов:
- Видимый свет (проекция/лазер): легко отслеживается
- Инфракрасный лазер: может быть заблокирован ИК-фильтром
Атаки на основе акустических сигналов: легко блокируются механизмами физической защиты

Преимущества данной работы

По сравнению с существующими методами, FIPatch обладает:

Более высокой скрытностью (прозрачные чернила)
Более сильной устойчивостью к защите (видимое световое излучение)
Гибким механизмом запуска (управление УФ-светом)
Лучшей практичностью (недорогие материалы)

Заключение и обсуждение

Основные выводы

Осуществимость атак флуоресцентными чернилами: впервые доказана эффективность флуоресцентных материалов для атак на системы TSR
Высокий коэффициент успешности атаки: достигает 98,31% успешности в условиях низкой освещённости
Сильная способность обхода защиты: существующие методы защиты практически неэффективны, максимально снижают успешность на 2-3%
Реальная угроза безопасности: демонстрирует значительную угрозу безопасности в реальной среде

Ограничения

Чувствительность к окружающему свету: сильное окружающее освещение (>1000 Люкс) значительно снижает эффективность атаки
Недостаточная системная оценка: тестирование проводилось в основном на уровне компонентов ИИ, отсутствует оценка полной системы автономного вождения
Ограничение расстояния обнаружения: требуется относительно близкое расстояние для эффективной атаки

Направления будущих исследований

Применение на изогнутых поверхностях: исследование проблем применения флуоресцентных материалов на изогнутых поверхностях
Механизмы защиты: разработка эффективных методов защиты от FIPatch
Кооперативное взаимодействие нескольких транспортных средств: использование кооперативного восприятия между транспортными средствами для повышения робастности системы

Глубокая оценка

Преимущества

Высокая инновационность: впервые применены флуоресцентные чернила как средство противодействующей атаки, открывая новое направление исследований
Полнота метода: полный фреймворк атаки от теоретического моделирования до практического развёртывания
Достаточность экспериментов: комплексная оценка в цифровом и физическом мире, учитывающая множество факторов окружающей среды
Высокая практическая ценность: раскрывает новые уязвимости безопасности систем TSR, имеет важное значение для безопасности

Недостатки

Этические соображения: хотя заявлена этическая экспертиза, метод атаки может быть использован в злонамеренных целях
Недостаточность исследования защиты: предложенные методы защиты относительно просты, требуют более глубокого исследования
Отсутствие анализа стоимости: не проведён детальный анализ компромисса между стоимостью атаки и сложностью обнаружения
Долгосрочная стабильность: долгосрочная стабильность флуоресцентных чернил и их влияние на окружающую среду недостаточно обсуждены

Влияние

Академический вклад: предоставляет новый вектор атаки и методы моделирования для исследований противодействующих атак
Предупреждение о безопасности: напоминает разработчикам систем автономного вождения о новых угрозах физических атак
Технологический прогресс: может способствовать разработке более робастных систем TSR и механизмов защиты

Применимые сценарии

Оценка безопасности: используется для оценки безопасности и робастности систем TSR
Исследование защиты: служит эталонным методом атаки для разработки и тестирования механизмов защиты
Укрепление системы: направляет безопасное проектирование и развёртывание систем автономного вождения

Библиография

Статья ссылается на большое количество связанных работ, включая:

Фундаментальную теорию противодействующих примеров (Goodfellow et al., Carlini & Wagner и др.)
Методы физических противодействующих атак (Eykholt et al., Song et al. и др.)
Системы распознавания дорожных знаков (YOLO, Faster R-CNN и др.)
Механизмы защиты (Cohen et al., Madry et al. и др.)

Общая оценка: Это высококачественная статья по исследованиям безопасности, предлагающая инновационный метод атаки и проводящая достаточную экспериментальную проверку. Несмотря на некоторые ограничения, её академическая ценность и практическое значение очень важны, оказывая позитивное влияние на развитие исследований безопасности систем автономного вождения.