基于YOLOv2模型的監(jiān)控系統(tǒng)喪失對人物的識別能力，從而實現(xiàn)在攝像頭下順利”隱身”的效果

近日，一個來自比利時魯汶大學(xué)（KU Leuven）的科研團(tuán)隊發(fā)現(xiàn)，使用特殊設(shè)計的圖案遮擋部分身體，就可以讓基于 YOLOv2 模型的監(jiān)控系統(tǒng)喪失對人物的識別能力，從而實現(xiàn)在攝像頭下順利”隱身”的效果。他們把這樣的圖案叫做”對抗圖案”(Adversarial Patch)。

監(jiān)控探頭在如今的大小城市中隨處可見。據(jù)報道，北京市在 2015 年就已建成了由 3 萬余個監(jiān)控探頭組成的立體防控網(wǎng)絡(luò)，覆蓋了城市街道的所有重點(diǎn)部位。這些探頭在交通管理、治安聯(lián)防、環(huán)境保護(hù)等各個方面，都發(fā)揮著越來越重要的作用。

近年來，卷積神經(jīng)網(wǎng)絡(luò)（CNN）模型在學(xué)術(shù)界早已風(fēng)生水起。其中許多技術(shù)的應(yīng)用，特別是用于監(jiān)控探頭的對象識別，也已經(jīng)進(jìn)入了我們的日常生活。

圖 |基于卷積神經(jīng)網(wǎng)絡(luò) (CNN) 的街面對象識別（來源：Dayan Mendez/Ebenezer Technologies）

然而，CNN模型的缺點(diǎn)卻也十分明顯。

首先，我們目前無法徹底地解釋它實現(xiàn)圖像識別的機(jī)制。CNN 模型的結(jié)構(gòu)通常十分復(fù)雜。在訓(xùn)練中，模型不斷地識別不同類型的圖片，自主調(diào)整上百萬個參數(shù)的數(shù)值，最終就可以達(dá)到極高的識別準(zhǔn)確率。

這就像是一個”黑箱子”，我們只知道放入一個圖片，就能得到它的類別名稱，但是我們看不到也弄不清箱子里的過程。更重要的是，由于訓(xùn)練數(shù)據(jù)中并不存在為了迷惑識別器而特意設(shè)計的圖片（比如給衣服印上特制圖案），識別器對不常見的變化就幾乎完全不能寬容。

Ian Goodfellow 帶領(lǐng)的團(tuán)隊曾經(jīng)做過這樣的實驗，對圖片中個別的像素點(diǎn)數(shù)值做一些人眼無法察覺的細(xì)微修改之后，CNN模型就徹底喪失了識別的準(zhǔn)確率。正所謂即使數(shù)據(jù)只是”失之毫厘”，CNN 識別器的功效也會”謬以千里”。

由魯汶大學(xué)副教授 Toon Goedemé帶領(lǐng)的團(tuán)隊，便是利用了 CNN 模型的這些”弱點(diǎn)”。發(fā)明了一套嚴(yán)謹(jǐn)?shù)姆椒?，用來生成可以迷?CNN 的”對抗圖案”。用圖案擋住人體的某個部分，監(jiān)控探頭就無法檢測到這個人的存在。

圖 |使用”對抗圖案”讓識別器無法識別（來源：Simen Thys/KU Leuven）

實驗中，被 Toon Goedemé 和他的團(tuán)隊”迷惑”的攝像頭，使用著名的 YOLOv2 卷積神經(jīng)網(wǎng)絡(luò)。YOLOv2 屬于實時對象識別模型，它的結(jié)構(gòu)是由 9 個不同尺寸的卷積層連接而成。當(dāng)一張圖片從輸入層進(jìn)入 YOLOv2 后，在輸出層會得到一系列的向量。向量里記錄的是以原始圖片上各個位置為中心，5 種不同尺寸的檢測框中存在探測目標(biāo)的概率，他們把這些概率中的最大值計作 L_obj。

圖 |YOLOv2 工作流程示意圖。中間上圖表示不同尺寸和位置的檢測框，中間下圖表示按照概率劃分出可能存在目標(biāo)的區(qū)域。（來源：Simen Thys/KU Leuven）

要想生成可以迷惑 YOLOv2 的”對抗圖案”，首先需要有一個可以準(zhǔn)確識別人物的 YOLOv2 模型，并且隨機(jī)生成一張初始的”對抗圖案”。然后，使用 YOLOv2 模型將每張訓(xùn)練圖片中的人體都框選出來。再用現(xiàn)有的”對抗圖案”覆蓋住已識別的一部分人體。最后把覆蓋后的訓(xùn)練圖片送回到模型中再次識別，并計算相應(yīng)的優(yōu)化目標(biāo)值 L。然后使用反向傳播法 (backpropagation) 和 Adam 算法，相應(yīng)調(diào)整”對抗圖案”上的像素數(shù)值。不斷重復(fù)覆蓋識別和調(diào)整像素值的過程，持續(xù)降低目標(biāo)值 L，直至得到最優(yōu)的”對抗圖案”。

整個過程中，YOLOv2 模型的參數(shù)值沒有任何的改變，它僅僅被用來改進(jìn)”對抗圖案”。

圖 |”對抗圖案”的生成工藝（來源：Simen Thys/KU Leuven）

為了生成效果最佳的”對抗圖案”，研究人員對比了優(yōu)化目標(biāo) L 的不同計算方法。其中最小化識別率（Minimising Objectness Score, OBJ）方法取得了最滿意的效果。在 OBJ 方法下，L 被定義為 L_obj，L_nps 和 L_tv 的加權(quán)平均值。其中，L_obj 是檢測框中存在探測目標(biāo)的最大概率，L_nps 表示”對抗圖案”的打印難度，L_tv 衡量的是它像素點(diǎn)間的變化程度（為了使圖片看起來柔和）。

圖 |優(yōu)化目標(biāo) L 的不同計算方法比較，可見 OBJ 方法生成的”對抗圖案”使模型查全率（Recall）和查準(zhǔn)率 (Precision) 都下降最快。（來源：Simen Thys/KU Leuven）

在得到最佳的”對抗圖案”之后，研究團(tuán)隊把它打印了出來。然后特意制作了一段演示視頻，展示其在現(xiàn)實中”迷惑”YOLOv2 模型的能力。

圖 | ”對抗圖案”演示視頻截圖（來源：Simen Thys/KU Leuven）

不可否認(rèn)，卷積神經(jīng)網(wǎng)絡(luò)（CNN）作為近幾年人工智能（AI）技術(shù)發(fā)展的主流和前沿，許多應(yīng)用已經(jīng)開始融入普通人的生活。然而，它所存在的局限性也一定不能被否認(rèn)和忽視。恰恰因為這些”漏洞”的存在，人們將更加努力地探索和發(fā)展這項新技術(shù)。未來，越來越多的 CNN 模型將會被創(chuàng)造或者改造，并終將為人類帶來更多的便利和價值。