The ‘Secret Routes’ That Can Foil Pedestrian Recognition Systems

Een nieuwe onderzoekssamenwerking tussen Israël en Japan betoogt dat detectiesystemen voor voetgangers inherente zwakke punten bezitten, waardoor goed geïnformeerde personen gezichtsherkenningssystemen kunnen ontwijken door zorgvuldig geplande routes te navigeren via gebieden waar surveillancetwerken het minst effectief zijn.

Met de hulp van openbaar beschikbare beelden Van Tokyo, New York en San Francisco, ontwikkelden de onderzoekers een geautomatiseerde methode om dergelijke paden te berekenen, op basis van de meest populaire objectherkenningssystemen die waarschijnlijk in openbare netwerken worden gebruikt.

De drie kruisingen die in de studie worden gebruikt: Shibuya Crossing in Tokyo, Japan; Broadway, New York; en Castro District, San Francisco. Bron: https://arxiv.org/pdf/2501.15653

Door deze methode is het mogelijk om te genereren Vertrouwen hitte maps dat gebieden in de camerafeed afbakenen waar voetgangers het minst waarschijnlijk een positieve hit van gezichtsherkenning bieden:

Aan de rechterkant zien we de vertrouwenswarmtemap gegenereerd door de methode van de onderzoekers. De rode gebieden duiden op een laag vertrouwen en een configuratie van houding, camerabepaling en andere factor die waarschijnlijk de gezichtsherkenning zullen belemmeren.

In theorie zou een dergelijke methode kunnen worden geïnstrumenteerd in een locatie-bewust app, of een ander soort platform om de minst ‘herkenningsvriendelijke’ paden van A naar B op elke berekende locatie te verspreiden.

De nieuwe paper stelt een dergelijke methodologie voor, getiteld Locatiegebaseerde privacyverbeteringstechniek (L-PET); het stelt ook een tegenmaatregel voor met de titel Locatie-gebaseerde adaptieve drempel (L-bat), die in wezen exact dezelfde routines uitvoert, maar vervolgens de informatie gebruikt om de bewakingsmaatregelen te versterken en te verbeteren, in plaats van manieren te bedenken om te voorkomen dat ze worden herkend; En in veel gevallen zouden dergelijke verbeteringen niet mogelijk zijn zonder verdere investeringen in de bewakingsinfrastructuur.

Het artikel stelt daarom een ​​potentiële technologische escalatieoorlog op tussen diegenen die hun routes willen optimaliseren om detectie te voorkomen en het vermogen van bewakingssystemen om volledig gebruik te maken van technologieën voor gezichtsherkenning.

Eerdere methoden voor het verijdelen van detectie zijn minder elegant dan dit, en centraal op tegenstanders, zoals, zoals TNT -aanvallenen het gebruik van Gedrukte patronen om het detectie -algoritme te verwarren.

Het werk van de 2019 Work ‘gekleurde geautomatiseerde bewakingscamera’s: tegenstanders om persoon detectie aan te vallen’ toonde een tegenstanders gedrukt patroon in staat om een ​​herkenningssysteem te overtuigen dat niemand wordt gedetecteerd, waardoor een soort ‘onzichtbaarheid mogelijk is. Bron: https://arxiv.org/pdf/1904.08653

De onderzoekers achter de nieuwe paper zien dat hun aanpak minder voorbereiding vereist, zonder dat ze tegenstanderbare draagbare items nodig hebben (zie afbeelding hierboven).

De papier is getiteld Een privacyverbeteringstechniek om detectie te ontwijken door straatvideocamera’s zonder te gebruiken tegenstandersaccessoiresen komt van vijf onderzoekers in de Ben-Gurion University van de Negev en Fujitsu Limited.

Methode en tests

In overeenstemming met eerdere werken zoals Tegenstanders masker,, Advertentie,, vijandige patchesen verschillende andere soortgelijke uitstapjes, nemen de onderzoekers aan dat de ‘aanvaller’ van de voetgangers weet welk objectdetectiesysteem wordt gebruikt in het bewakingsnetwerk. Dit is eigenlijk geen onredelijke veronderstelling, vanwege de wijdverbreide acceptatie van state-of-the-art open source-systemen zoals Yolo in bewakingssystemen van onder meer Cisco En Ultralytiek (Momenteel de centrale drijvende kracht in de ontwikkeling van Yolo).

Het papier gaat ook ervan uit dat de voetganger toegang heeft tot een livestream op internet die op de te berekenen locaties wordt vastgesteld, wat opnieuw een redelijke veronderstelling op de meeste plaatsen die waarschijnlijk een intensiteit van dekking hebben.

Sites zoals 511ny.org bieden toegang tot vele bewakingscamera’s in het NYC -gebied. Bron: https: //511ny.or

Daarnaast heeft de voetganger toegang nodig tot de voorgestelde methode, en tot de scène zelf (dwz de kruisingen en routes waarin een ‘veilige’ route moet worden vastgesteld).

Om L-PET te ontwikkelen, evalueerden de auteurs het effect van de voetgangershoek ten opzichte van de camera; het effect van camerahoogte; het effect van afstand; en het effect van het tijdstip van de dag. Om de grond te verkrijgen, fotografeerden ze een persoon onder de hoeken 0 °, 45 °, 90 °, 135 °, 180 °, 225 °, 270 ° en 315 °.

Grondwaarheid observaties uitgevoerd door de onderzoekers.

Ze herhaalden deze variaties op drie verschillende camerahoogten (0,6 m, 1,8 m, 2,4 m) en met gevarieerde lichtomstandigheden (ochtend-, middag-, nacht- en ‘lab’ -omstandigheden).

Deze beelden voeden aan de Sneller R-CNN En Yolov3 Objectdetectoren ontdekten dat het vertrouwen van het object afhangt van de scherpte van de hoek van de voetganger, de afstand van de voetganger, de camerahoogte en de weersomstandigheden*.

De auteurs testten vervolgens een breder scala aan objectdetectoren in hetzelfde scenario: sneller R-CNN; Yolov3; SSD; Diffusie; En Rtmdet.

De auteurs stellen:

‘We hebben geconstateerd dat alle vijf objectdetectorarchitecturen worden beïnvloed door de voetgangerspositie en omgevingslicht. Bovendien vonden we dat voor drie van de vijf modellen (YOLOV3, SSD en RTMDET) het effect aanhoudt door alle omgevingslichtniveaus. ‘

Om de reikwijdte uit te breiden, gebruikten de onderzoekers beelden uit de openbaar beschikbare verkeerscamera’s op drie locaties: Shibuya Crossing in Tokyo, Broadway in New York en het Castro -district in San Francisco.

Elke locatie verstrekt tussen de vijf en zes opnames, met ongeveer vier uur beeldmateriaal per opname. Om de detectieprestaties te analyseren, werd één frame om de twee seconden geëxtraheerd en verwerkt met behulp van een snellere R-CNN-objectdetector. Voor elke pixel in de verkregen frames schatte de methode het gemiddelde vertrouwen van de ‘persoon’ -detectiebrenzenboxen die aanwezig waren in die pixel.

‘We vonden dat op alle drie de locaties het vertrouwen van de objectdetector varieerde afhankelijk van de locatie van mensen in het kader. In de shibuya -kruisende beelden zijn er bijvoorbeeld grote gebieden met weinig vertrouwen verder weg van de camera, evenals dichter bij de camera, waar een paal het passeren van voetgangers gedeeltelijk verduistert. ‘

De L-PET-methode is in wezen deze procedure, aantoonbaar ‘bewapend’ om een ​​pad te verkrijgen door een stedelijk gebied dat het minst waarschijnlijk heeft dat de voetganger met succes wordt erkend.

L-bat daarentegen volgt dezelfde procedure, met het verschil dat het de scores in het detectiesysteem bijwerkt, waardoor een feedbacklus wordt gecreëerd die is ontworpen om de L-PET-aanpak te voorkomen en de ‘blinde gebieden’ van het systeem effectiever te maken.

(In praktische termen zou het verbeteren van de dekking op basis van verkregen hitte echter meer vereisen dan alleen een upgrade van de camera die in de verwachte positie zit; op basis van de testcriteria, inclusief locatie, zou het de installatie van extra camera’s vereisen om de verwaarloosde te dekken om de verwaarloosde te dekken Gebieden-Daarom zou kunnen worden betoogd dat de L-PET-methode deze specifieke ‘koude oorlog’ escaleert in een zeer duur scenario inderdaad)

Het gemiddelde zelfvertrouwen van de voetgangersdetectie voor elke pixel, over diverse detectorkaders, in het waargenomen gebied van Castro Street, geanalyseerd op vijf video’s. Elke video werd opgenomen onder verschillende verlichtingsomstandigheden: zonsopgang, overdag, zonsondergang en twee verschillende nachtelijke instellingen. De resultaten worden afzonderlijk gepresenteerd voor elk verlichtingsscenario.

Na de op pixel gebaseerde matrixrepresentatie om te zetten in een grafiekweergave die geschikt is voor de taak, hebben de onderzoekers de Dijkstra -algoritme Om optimale paden te berekenen voor voetgangers om door gebieden te navigeren met verminderde surveillancedetectie.

In plaats van het kortste pad te vinden, werd het algoritme gewijzigd om het gedetectieverhoud te minimaliseren, waarbij regio’s met veel vertrouwen worden behandeld als gebieden met hogere ‘kosten’. Door deze aanpassing kon het algoritme routes identificeren die door blinde vlekken of laagdetectiezones gingen, waardoor voetgangers effectief worden begeleid door paden met een verminderde zichtbaarheid van bewakingssystemen.

Een visualisatie die de transformatie van de warmtemap van de scène weergeeft van een op pixels gebaseerde matrix in een op grafieken gebaseerde weergave.

De onderzoekers evalueerden de impact van het L-BAT-systeem op voetgangersdetectie met een gegevensset gebouwd uit de bovengenoemde vier uur durende opnames van openbaar voetgangersverkeer. Om de verzameling te vullen, werd één frame om de twee seconden verwerkt met behulp van een SSD -objectdetector.

Uit elk frame werd één begrenzingsvak geselecteerd met een gedetecteerde persoon als een positief monster, en een ander willekeurig gebied zonder gedetecteerde mensen werd gebruikt als een negatief monster. Deze tweelingmonsters vormden een dataset voor het evalueren van twee snellere R-CNN-modellen-een met L-Bat toegepast en één zonder.

De prestaties van de modellen werden beoordeeld door te controleren hoe nauwkeurig ze positieve en negatieve monsters identificeerden: een overlappende doos overlappend een positief monster werd als een echt positief beschouwd, terwijl een begrenzingsdoos overlappend een negatief monster een vals positief werd bestempeld.

Statistieken die werden gebruikt om de detectiebetrouwbaarheid van L-Bat te bepalen waren Gebied onder de curve (AUC); Echt positief percentage (TPR); False positieve snelheid (FPR); en gemiddeld echt positief vertrouwen. De onderzoekers beweren dat het gebruik van L-Bat het vertrouwen van detecties verbeterde met behoud van een hoog werkelijk positief percentage (zij het met een lichte toename van valse positieven).

Bij het sluiten merken de auteurs op dat de aanpak enkele beperkingen heeft. Een daarvan is dat de hittemaps die volgens hun methode zijn gegenereerd, specifiek zijn voor een bepaald tijdstip van de dag. Hoewel ze er niet op worden uiteengezet, zou dit erop duiden dat een grotere, meerlagige aanpak nodig zou zijn om het tijdstip van de dag in een meer flexibele implementatie te verklaren.

Ze merken ook op dat de HeatMaps niet overbrengen naar verschillende modelarchitecturen en zijn gebonden aan een specifiek objectdetectormodel. Aangezien het voorgestelde werk in wezen een proof-of-concept is, kunnen meer behendige architecturen, vermoedelijk, ook worden ontwikkeld om deze technische schuld te verhelpen.

Conclusie

Elke nieuwe aanvalsmethode waarvoor de oplossing is ‘betalen voor nieuwe bewakingscamera’s’ heeft enig voordeel, omdat het uitbreiden van civic cameratienetwerken in zeer gebieden kan zijn Politiek uitdagendevenals het vertegenwoordigen van een opmerkelijke maatschappelijke kosten die meestal een kiezersmandaat nodig hebben.

Misschien is de grootste vraag van het werk ‘Maak gebruik van gesloten-source bewakingssystemen open source sota-frameworks zoals Yolo?’. Dit is natuurlijk onmogelijk om te weten, omdat de makers van de eigen systemen die zoveel staats- en maatschappelijke cameratetwerken (althans in de VS) van kracht zouden hebben, zouden beweren dat het openbaar maken van dergelijk gebruik ze zou kunnen openen om aan te vallen.

Desalniettemin zou de migratie van de overheid IT en interne eigen code naar globale en open source-code suggereren dat iedereen die de stelling van de auteurs test met (bijvoorbeeld) Yolo, misschien onmiddellijk op de jackpot test.

* Normaal gesproken zou ik gerelateerde tabelresultaten opnemen wanneer ze in de krant worden verstrekt, maar in dit geval maakt de complexiteit van de tafels van het artikel ze niet verlamd voor de informele lezer, en een samenvatting is daarom nuttiger.

Voor het eerst gepubliceerd dinsdag 28 januari 2025