Got My “Invisibility” Patch: Towards Physical Evasion Attacks on Black-Box Face Detection Systems

Abstract

现代人脸检测 (FD) 系统已经展示了在识别人脸方面的卓越性能，这主要归功于深度神经网络 (DNN)。然而，这些 DNN 驱动的模型表现出对对抗性攻击的内在脆弱性，从而对有意躲避检测器的人脸迷惑处理构成重大风险。这种迷惑处理既可以用于恶意目的（例如，规避监控系统），也可以用于良性目的（例如，保护个人隐私）。先前的研究已经开发了旨在削弱各种 FD 模型有效性的技术，但这些对抗性攻击主要局限于数字领域——例如，通过将对抗性扰动应用于数字输入图像——或者需要目标 FD 系统的先验知识。在本文中，我们介绍了一种新颖的框架，用于规避真实场景中的黑盒人脸检测 (FD) 系统。所提出的方法依赖于“注意力期望”(EoA) 算法，该算法通过融合一系列公开可用的 FD 模型的注意力机制来生成公共注意力热图 (PAHM)。我们的评估结果表明，EoA 在白盒设置中优于最先进 (SOTA) 的方法，并在黑盒场景中表现出强大的跨模型迁移能力，从而有效地规避了智能手机、笔记本电脑和监控摄像头中的 FD 系统。