Attacking the Loop: Adversarial Attacks on Graph-based Loop Closure Detection
作者: Jonathan J. Y. Kim, Martin Urschler, Patricia J. Riddle, Jorg S. Wicker
分类: cs.CV, cs.RO
发布日期: 2023-12-12
备注: Accepted at VISIGRAPP 2024, 8 pages
💡 一句话要点
提出Adversarial-LCD,针对图结构回环检测的黑盒对抗攻击框架
🎯 匹配领域: 支柱三:空间感知与语义 (Perception & Semantics)
关键词: 对抗攻击 回环检测 图神经网络 视觉SLAM 机器人安全
📋 核心要点
- 现有基于图的回环检测方法(如SymbioLCD2)将视觉和语义信息融合,提升了性能,但也引入了新的图结构攻击脆弱点。
- Adversarial-LCD提出了一种黑盒攻击框架,利用特征向量中心性进行图扰动,并结合SVM-RBF代理模型进行攻击。
- 实验表明,Adversarial-LCD的SVM-RBF代理模型优于其他机器学习模型,且特征向量中心性扰动方法优于其他图扰动算法。
📝 摘要(中文)
随着机器人技术的进步,视觉SLAM(vSLAM)机器人越来越多地应用于工厂和仓库等场景,与人类协同工作。因此,针对vSLAM组件的对抗攻击可能对人类造成潜在危害。回环检测(LCD)是vSLAM中的关键组件,用于最小化建图过程中的漂移累积。本文针对Kim等人提出的SymbioLCD2,该方法将视觉特征和语义对象统一到单个图结构中以寻找回环候选,提出了一种新颖的黑盒规避攻击框架Adversarial-LCD。该框架采用基于特征向量中心性的扰动方法和一个带有Weisfeiler-Lehman特征提取器的SVM-RBF代理模型来攻击基于图的LCD。评估结果表明,Adversarial-LCD与SVM-RBF代理模型相比,优于其他机器学习代理算法,包括SVM-linear、SVM-polynomial和贝叶斯分类器,证明了该攻击框架的有效性。此外,基于特征向量中心性的扰动方法优于其他算法,如Random-walk和Shortest-path,突出了Adversarial-LCD扰动选择方法的效率。
🔬 方法详解
问题定义:论文旨在解决基于图的回环检测系统在对抗攻击下的脆弱性问题。现有的回环检测方法,特别是那些利用图结构融合视觉和语义信息的方法,虽然提升了性能,但同时也暴露了新的攻击面。传统的视觉patch攻击难以应用到图结构数据上,而细微的图扰动更难被检测,对系统的安全性构成了严重威胁。
核心思路:论文的核心思路是设计一种黑盒攻击方法,即在不了解目标回环检测系统内部结构和参数的情况下,通过精心设计的图扰动来降低其性能。这种攻击方法需要能够有效地选择需要扰动的节点和边,并且能够利用代理模型来近似目标系统的行为,从而指导扰动过程。
技术框架:Adversarial-LCD框架主要包含两个核心模块:扰动选择模块和代理模型模块。扰动选择模块负责选择图中需要进行扰动的节点和边,论文采用基于特征向量中心性的方法来选择对图结构影响最大的节点。代理模型模块则用于近似目标回环检测系统的行为,论文采用SVM-RBF作为代理模型,并使用Weisfeiler-Lehman特征提取器来提取图的特征。整个攻击流程如下:首先,利用Weisfeiler-Lehman特征提取器提取图的特征;然后,使用SVM-RBF代理模型预测扰动后的图的回环检测结果;最后,根据预测结果,选择能够最大程度降低回环检测性能的扰动。
关键创新:论文的关键创新在于提出了一种基于特征向量中心性的图扰动方法,以及将SVM-RBF作为代理模型来攻击基于图的回环检测系统。特征向量中心性能够有效地选择对图结构影响最大的节点,从而实现高效的扰动。SVM-RBF作为一种非线性模型,能够更好地近似目标回环检测系统的复杂行为。
关键设计:在扰动选择方面,论文采用特征向量中心性来衡量节点的重要性,并选择中心性最高的节点进行扰动。在代理模型方面,论文选择SVM-RBF作为代理模型,并使用Weisfeiler-Lehman特征提取器来提取图的特征。SVM-RBF的参数(如核函数参数和惩罚系数)需要根据具体的数据集进行调整。此外,论文还设计了一种迭代式的扰动策略,即每次只扰动少量的节点和边,然后重新训练代理模型,从而逐步降低回环检测的性能。
📊 实验亮点
实验结果表明,Adversarial-LCD框架在使用SVM-RBF代理模型时,攻击性能优于使用SVM-linear、SVM-polynomial和贝叶斯分类器等其他机器学习模型。此外,基于特征向量中心性的扰动方法也优于Random-walk和Shortest-path等其他图扰动算法,证明了Adversarial-LCD框架的有效性和效率。
🎯 应用场景
该研究成果可应用于评估和增强视觉SLAM系统在对抗环境下的鲁棒性。通过模拟对抗攻击,可以发现回环检测模块的潜在漏洞,并开发相应的防御机制,从而提高机器人在复杂和不确定环境中运行的安全性,例如自动驾驶、无人机导航和工业机器人等。
📄 摘要(原文)
With the advancement in robotics, it is becoming increasingly common for large factories and warehouses to incorporate visual SLAM (vSLAM) enabled automated robots that operate closely next to humans. This makes any adversarial attacks on vSLAM components potentially detrimental to humans working alongside them. Loop Closure Detection (LCD) is a crucial component in vSLAM that minimizes the accumulation of drift in mapping, since even a small drift can accumulate into a significant drift over time. A prior work by Kim et al., SymbioLCD2, unified visual features and semantic objects into a single graph structure for finding loop closure candidates. While this provided a performance improvement over visual feature-based LCD, it also created a single point of vulnerability for potential graph-based adversarial attacks. Unlike previously reported visual-patch based attacks, small graph perturbations are far more challenging to detect, making them a more significant threat. In this paper, we present Adversarial-LCD, a novel black-box evasion attack framework that employs an eigencentrality-based perturbation method and an SVM-RBF surrogate model with a Weisfeiler-Lehman feature extractor for attacking graph-based LCD. Our evaluation shows that the attack performance of Adversarial-LCD with the SVM-RBF surrogate model was superior to that of other machine learning surrogate algorithms, including SVM-linear, SVM-polynomial, and Bayesian classifier, demonstrating the effectiveness of our attack framework. Furthermore, we show that our eigencentrality-based perturbation method outperforms other algorithms, such as Random-walk and Shortest-path, highlighting the efficiency of Adversarial-LCD's perturbation selection method.