视觉识别也会被“致盲”？针对车内 DMS 摄像头的对抗样本攻击与防御方案

视觉识别也会被“致盲”？针对车内DMS摄像头的对抗样本攻击与防御方案

驾驶员监控系统（DMS, Driver Monitoring System）在现代汽车中扮演着越来越重要的角色，用于实时监测驾驶员的疲劳状态、注意力分散情况，从而提升驾驶安全。然而，DMS主要依赖车内摄像头进行视觉识别，这使得它暴露在了人工智能领域一个严重的安全威胁之下：对抗样本攻击（Adversarial Attacks）。

通过对物理世界（如驾驶员的脸部或车内环境）施加微小、人眼难以察觉的扰动，攻击者可以有效地“致盲”DMS系统，使其错误地判断驾驶员状态（例如，将“疲劳驾驶”错误识别为“正常驾驶”），从而带来极大的安全隐患。

本文将聚焦如何使用经典且高效的快速梯度符号法（FGSM）生成数字对抗样本来模拟这种攻击，并探讨现实中的防御策略。

1. 对抗样本攻击原理：FGSM

快速梯度符号法（Fast Gradient Sign Method, FGSM）是最早、最简单的白盒对抗攻击方法之一。其核心思想是：沿着损失函数梯度方向的小步长移动，以最大化模型的预测错误。

公式表达为：
$$x^{adv} = x + \epsilon \cdot sign(\nabla_x J(\theta, x, y))$$

其中：
* $x$ 是原始输入图像。
* $\epsilon$ 是扰动强度（控制人眼可见性）。
* $J(\theta, x, y)$ 是模型的损失函数。
* $\nabla_x J$ 是损失函数对输入图像$x$的梯度。
* $sign(\cdot)$ 提取梯度的符号（方向）。

2. 实操演示：使用PyTorch生成对抗样本

我们以一个简单的图像分类模型（模拟DMS后端的识别模块）为例，展示如何生成能够欺骗模型的对抗样本。

环境准备：

pip install torch torchvision requests Pillow

PyTorch代码实现：

import torch
import torch.nn as nn
from torchvision import models, transforms
from PIL import Image
import requests
from io import BytesIO

# 1. 初始化模型（使用预训练的ResNet18模拟DMS分类器）
# 在实际DMS中，模型可能识别“眼睛闭合”、“打哈欠”等状态
model = models.resnet18(pretrained=True)
model.eval()

# 图像预处理和加载
preprocess = transforms.Compose([
    transforms.Resize(256),
    transforms.CenterCrop(224),
    transforms.ToTensor(),
    transforms.Normalize(mean=[0.485, 0.456, 0.406], std=[0.229, 0.224, 0.225]),
])

def load_image_for_demo():
    # 使用一个远程图片作为输入样本
    img_url = "https://storage.googleapis.com/download.tensorflow.org/example_images/YellowLabradorLooking_new.jpg"
    response = requests.get(img_url)
    img = Image.open(BytesIO(response.content)).convert('RGB')
    return img

original_img = load_image_for_demo()
input_tensor = preprocess(original_img)
input_batch = input_tensor.unsqueeze(0) 

# 2. 定义FGSM攻击函数
def fgsm_attack(image, epsilon, data_grad):
    # 提取梯度的符号
    sign_data_grad = data_grad.sign()
    # 生成扰动后的图像
    perturbed_image = image + epsilon * sign_data_grad
    # 限制像素值范围[0, 1] (尽管归一化后实际范围不同，但在应用扰动后需要进行裁剪)
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    return perturbed_image

# 3. 执行攻击
epsilon = 0.007 # 扰动强度

# 设置需要计算梯度
input_batch.requires_grad = True

# 初始预测
output = model(input_batch)
init_pred_index = output.max(1, keepdim=True)[1].item()
# 假设目标攻击：我们想让模型识别成索引为130的类别 (例如，'大象')
target_label_index = 130 

# 计算损失（目标攻击：最大化目标类别的概率，或者最小化原始类别的概率）
# 这里采用非目标攻击的变种：最大化原始损失，即让模型尽快出错
loss = nn.CrossEntropyLoss()(output, torch.tensor([init_pred_index]))

# 反向传播计算梯度
model.zero_grad()
loss.backward()

data_grad = input_batch.grad.data

# 生成对抗样本
perturbed_data = fgsm_attack(input_batch, epsilon, data_grad)

# 4. 评估攻击效果
output_adv = model(perturbed_data)
final_pred_index = output_adv.max(1, keepdim=True)[1].item()

print(f"扰动强度 (epsilon): {epsilon}")
print(f"原始预测类别索引: {init_pred_index}")
print(f"对抗样本预测类别索引: {final_pred_index}")

if init_pred_index != final_pred_index:
    print("攻击成功：模型被欺骗！")
else:
    print("攻击失败：模型仍保持正确分类。")

# 注意：若要实际可视化，需要进行逆标准化处理。

3. DMS对抗样本的物理实现与挑战

虽然上述代码演示了数字攻击，但针对车内DMS的攻击通常是物理攻击，涉及到以下挑战：

1. 鲁棒性要求高： 物理世界中的光照、角度、距离都会影响扰动效果。攻击者通常需要生成鲁棒性更强的补丁（Adversarial Patch），并将其打印出来或投射到驾驶员的面部或方向盘上。
2. 目标性强： 攻击通常旨在改变特定的驾驶员状态（如将“清醒”变为“疲劳”或“看手机”），而非简单的错误分类。

4. 针对DMS对抗攻击的防御方案

由于DMS的安全性直接关系到生命安全，部署有效的防御至关重要。主流的防御方法包括：

4.1 输入预处理与随机化 (Input Preprocessing and Randomization)

对抗样本的脆弱性在于其扰动是“精确”匹配模型权重的。如果能稍微改变输入数据的特性，就可以破坏这种精确匹配。

• JPEG压缩或位深度缩减： 通过对输入图像进行轻微的有损压缩或降低颜色位深度，可以有效抹除高频的对抗性噪声，同时对正常识别影响较小。
• 随机调整大小/填充 (Random Resizing/Padding)： 在推理前对图像进行微小的、随机的缩放或裁剪，可以改变扰动相对于模型输入网格的位置，降低攻击的有效性。

4.2 对抗训练 (Adversarial Training)

这是目前被认为最有效、最彻底的防御手段。其方法是将模型在训练过程中使用大量生成的对抗样本进行训练。

1. 样本生成： 在每次训练迭代中，使用FGSM或PGD（Projected Gradient Descent）等方法为当前批次的输入生成对抗样本。
2. 模型更新： 模型不仅学习正确分类原始样本，还要学习正确分类这些带有扰动的对抗样本。

通过对抗训练，模型能够学习到更加平滑的决策边界，从而对微小的输入变化产生更小的敏感度，显著提高其对已知攻击方法的鲁棒性。