5.1 Digitally Perturbed Stop Sign

1.讨论了参数c的作用

参数c控制了扰动的攻击力度。一般来说，如果c越大的话，生成的扰动就会相对较小，但是也不够鲁棒。为了能够取得更鲁棒的攻击效果，一般会倾向于选择一个较大的c值。

2.讨论了攻击实际操作

为了生成的stop sign保证能被人类识别，仅仅攻击标志的背景部分（red part），而标志的白色字部分（stop字样）则保持完整不动。

3.讨论了目标攻击类别的选取

为了保证攻击的成功率，一般选取size和shape上与stop sign接近的类作为攻击取向。本文选取的是person和sports ball。

4.讨论了参数c的选取

为了保证较高的成功率以及攻击在视觉上不那么明显，本文都是手动选择参数c。并且对于不同的类别的不同confidence（low and high）都提供了不同的参数选择。

	sports ball	person
high confidence	0.002	0.005
low confidence	0.005	0.01

5.2. 物理攻击

流程：

Step 1.构建物理攻击
基于预训练的object detector执行物理攻击打印出来带干扰信息的stop sign

Step2. 室内实验
在室内不同的角度、距离下进行拍摄照片

Step3.驾驶实验
在真实环境下驾驶汽车从远至近拍摄交通标志进行实验。

F.可改进/研究的空间

1.干扰空间太大，成本太高

与patch相比，本文的攻击修改的是整个标志的背景，成本太高，攻击起来不够现实和可操作，实际意义不大。应该考虑以patch的形式降低物理攻击的载体的size大小。

2.目标攻击类别的探讨

可以看到文章中的工作对于目标攻击类别（将stop sign攻击错分类成sports ball、person）不同展现出的性能是不一样的，可以进一步展开这方面的研究。

3.性能问题

文章提供了high and low level的置信干扰，对于low level的情况干扰更加小但是效果很不好，如下表所示。

其次，在实际的drive-by test中，与real sign 百分百帧率被成功稳定识别对比，作者的攻击对象类别最好的情况（攻击成person类）也只达到了不到50%的目标攻击成功率（405帧中只有190帧被稳定地错分类成person类）。