Valutare le vulnerabilità nei modelli di previsione del flusso di folla
Questo studio esamina le debolezze dei modelli di previsione del flusso di folla contro attacchi avversari.
― 7 leggere min
Indice
Prevedere il movimento delle folle è importante per vari settori come la sicurezza pubblica, la gestione dei trasporti e la pianificazione delle smart city. Capendo come si muovono le folle in posti diversi, le autorità possono intervenire per prevenire il sovraffollamento e garantire la sicurezza.
Le Reti Neurali Profonde (DNN) sono strumenti popolari per fare queste previsioni. Possono analizzare i movimenti delle folle passati per prevedere gli stati futuri. Tuttavia, c'è un grande svantaggio. Se i dati in input vengono modificati in modo astuto, le DNN possono produrre risultati errati. Questo è un problema noto come vulnerabilità avversariale. Anche se sono stati creati molti modelli per prevedere il flusso delle folle, non è stato fatto molto ricerca su come questi modelli possano essere ingannati.
Panoramica del Problema
La previsione del flusso delle folle implica stimare quante persone entreranno o usciranno da un certo area in un futuro. Questo si fa utilizzando dati che mostrano i movimenti delle folle nel tempo. I modelli che prevedono il flusso delle folle sono cruciali per identificare le aree che potrebbero diventare sovraffollate. Possono aiutare le autorità a prendere misure preventive per mantenere le persone al sicuro.
In questo studio, esaminiamo come tre diversi modelli di previsione del flusso delle folle resistono a vari tipi di attacchi. Questi modelli sono il Perceptron Multilivello (MLP), la Rete ResNet Spazio-Temporale (STResnet) e la Rete Neurale Convoluzionale Grafica Temporale (TGCN). Valutiamo come si comportano questi modelli di fronte ad attacchi progettati per manipolarne le previsioni.
Sfide Affrontate
Una delle principali sfide nella valutazione della robustezza di questi modelli è che richiedono diversi tipi di dati in input. Ad esempio, il modello TGCN utilizza una storia di dati di lunghezza specifica, mentre STResnet richiede più set di input che coprono diverse scale temporali. Questa differenza rende difficile confrontare le loro prestazioni in modo equo.
Inoltre, c'è stato un continuo scambio tra attaccanti che cercano di ingannare i modelli e difensori che cercano di proteggerli. Molte strategie per entrambi i lati diventano rapidamente inefficaci man mano che vengono sviluppati nuovi metodi. Quindi, creare difese e attacchi adattivi è sia essenziale che difficile.
Risultati
Nella nostra analisi, abbiamo scoperto che tutti e tre i modelli sono vulnerabili ad attacchi avversari. Quando applichiamo attacchi standard, come FGSM, i-FGSM e PGD, vediamo che questi modelli possono essere ingannati in modo significativo. Anche se questi modelli di previsione del flusso delle folle mostrano buone prestazioni in condizioni normali, fanno fatica a gestire le perturbazioni avversarie.
Abbiamo anche trovato che le perturbazioni causate da attacchi standard non sono spesso realistiche - non si allineano con scenari del mondo reale. Questo significa che non possono essere facilmente messe in pratica senza un gran numero di dispositivi controllati. Inoltre, questi attacchi standard producono input perturbati che spesso contraddicono le regole di base che governano il flusso delle folle, rendendoli facili da ignorare.
Per contrastare questi problemi, proponiamo un nuovo metodo, CaV-detect, che verifica la coerenza e la validità dei dati sul flusso delle folle. Analizza i dati di inflow e outflow per determinare se seguono i modelli attesi. I nostri risultati mostrano che questo metodo può identificare input avversari con completa accuratezza.
Successivamente, proponiamo un nuovo tipo di attacco chiamato CVPR, che genera perturbazioni che sono coerenti e valide, pur essendo fisicamente realizzabili. Questo attacco supera gli attacchi standard quando viene valutato in termini di quanto bene raggiunge gli obiettivi dell'attaccante.
Background
Importanza della Previsione del Flusso delle Folle
La previsione del flusso delle folle sta diventando sempre più importante man mano che le città crescono e subiscono un aumento della densità e della mobilità. I modelli che possono prevedere il movimento delle folle possono aiutare i pianificatori urbani a garantire sistemi di trasporto efficienti e migliorare la sicurezza pubblica. I movimenti delle persone possono essere influenzati da eventi, stagioni e design urbani. Quindi, avere previsioni accurate può migliorare la qualità complessiva della vita.
Approcci di Machine Learning
Sono state sviluppate varie tecniche di machine learning per prevedere il flusso delle folle. Questi includono modelli probabilistici, modelli statistici, apprendimento superficiale e modelli di deep learning. I modelli di deep learning hanno guadagnato popolarità per la loro capacità di gestire schemi complessi in grandi dataset.
Attacchi Avversari
Gli attacchi avversari sono modifiche apportate agli input che possono ingannare i modelli di machine learning facendoli fare previsioni errate. Questi attacchi possono essere molto piccoli e spesso passano inosservati sia ai modelli che agli osservatori umani. La tentazione di attaccare tali modelli è in crescita, poiché sempre più sistemi si affidano al machine learning per operare.
Metodologia
Dataset sul Flusso delle Folle
Il dataset utilizzato per questo studio si chiama TaxiBJ, che divide una città in una griglia e registra il flusso delle folle come inflow e outflow a intervalli di mezz'ora. Questo dataset aiuta a creare una rappresentazione di come si muovono le folle attraverso le diverse parti di una città.
Addestramento del Modello
Sono state valutate tre diverse architetture: MLP, STResnet e TGCN. Ogni modello è stato addestrato utilizzando lo stesso dataset in condizioni simili per garantire un confronto equo.
Metriche di Valutazione
Per misurare l'efficacia dei modelli e la forza degli attacchi, sono state impiegate varie metriche:
- Test Loss: Indica quanto bene un modello prevede il corretto flusso delle folle in condizioni normali.
- Adversarial Loss: Mostra quanto bene un modello si comporta quando è soggetto a attacchi avversari.
- False Acceptance Rate (FAR): Misura quanto spesso il CaV-detect fallisce nell'identificare input avversari.
Risultati
Prestazioni del Modello
La nostra valutazione ha trovato che tutti i modelli mostrano una vulnerabilità significativa agli attacchi avversari. I modelli MLP e STResnet hanno mostrato una robustezza relativamente inferiore rispetto al modello TGCN.
Attacchi Avversari
I risultati indicano che quando abbiamo applicato gli attacchi FGSM, i-FGSM e PGD, la perdita avversaria è aumentata significativamente. Questo significa che i modelli sono stati ingannati dalle loro previsioni intese. I risultati mostrano anche che l'attacco CVPR è stato migliore nel raggiungere i suoi obiettivi rimanendo capace di evitare la rilevazione dal sistema CaV-detect.
Rilevamento di Input Avversari
Attraverso i nostri controlli di coerenza e validità nel sistema CaV-detect, abbiamo raggiunto un'alta percentuale di rilevamento per attacchi standard, mantenendo un tasso di accettazione errata dello 0%. D'altra parte, l'attacco CVPR è riuscito a evadere la rilevazione con un tasso di quasi il 99,7%, suggerendo la necessità di sviluppare continuamente meccanismi di difesa.
Realizzabilità Fisica degli Attacchi
Abbiamo anche considerato quanto bene gli attacchi potessero essere attuati nel mondo reale. L'attacco CVPR è stato progettato per essere fisicamente realizzabile, il che significa che riflette come un attaccante potrebbe manipolare il flusso delle folle in scenari pratici. Sebbene l'attacco PGD si comportasse meglio in ambienti più semplici, l'attacco CVPR si è dimostrato più robusto sotto vincoli realistici.
Discussione
Implicazioni per la Sicurezza
Le informazioni raccolte da questa ricerca sono vitali per i pianificatori urbani e i funzionari della sicurezza pubblica. Conoscere le debolezze dei modelli di previsione del flusso delle folle consente loro di scegliere sistemi e difese migliori contro potenziali attacchi. Aumentare la consapevolezza delle vulnerabilità avversarie è fondamentale per progettare modelli più robusti in futuro.
Direzioni per la Ricerca Futuro
È necessaria ulteriore ricerca su difese più adattive che possano tenere il passo con le strategie di attacco in evoluzione. Inoltre, comprendere come i modelli di flusso delle folle possano essere riprogettati per migliorare l'espressività sarà cruciale per il lavoro futuro.
Conclusione
Questo studio fa luce sulle vulnerabilità avversarie dei modelli di previsione del flusso delle folle, sottolineando anche l'importanza di rilevare tali minacce. Con l'aumento delle popolazioni urbane, la necessità di sistemi di gestione delle folle affidabili è vitale. I nostri metodi e risultati proposti contribuiscono a una migliore comprensione e miglioramento dell'affidabilità e della sicurezza delle previsioni del flusso delle folle.
Con l'evoluzione delle città, le sfide nella gestione del flusso delle folle diventeranno ancora più complesse. Difese adattive e modelli di previsione robusti sono essenziali per garantire la sicurezza in spazi sempre più affollati.
Titolo: Consistent Valid Physically-Realizable Adversarial Attack against Crowd-flow Prediction Models
Estratto: Recent works have shown that deep learning (DL) models can effectively learn city-wide crowd-flow patterns, which can be used for more effective urban planning and smart city management. However, DL models have been known to perform poorly on inconspicuous adversarial perturbations. Although many works have studied these adversarial perturbations in general, the adversarial vulnerabilities of deep crowd-flow prediction models in particular have remained largely unexplored. In this paper, we perform a rigorous analysis of the adversarial vulnerabilities of DL-based crowd-flow prediction models under multiple threat settings, making three-fold contributions. (1) We propose CaV-detect by formally identifying two novel properties - Consistency and Validity - of the crowd-flow prediction inputs that enable the detection of standard adversarial inputs with 0% false acceptance rate (FAR). (2) We leverage universal adversarial perturbations and an adaptive adversarial loss to present adaptive adversarial attacks to evade CaV-detect defense. (3) We propose CVPR, a Consistent, Valid and Physically-Realizable adversarial attack, that explicitly inducts the consistency and validity priors in the perturbation generation mechanism. We find out that although the crowd-flow models are vulnerable to adversarial perturbations, it is extremely challenging to simulate these perturbations in physical settings, notably when CaV-detect is in place. We also show that CVPR attack considerably outperforms the adaptively modified standard attacks in FAR and adversarial loss metrics. We conclude with useful insights emerging from our work and highlight promising future research directions.
Autori: Hassan Ali, Muhammad Atif Butt, Fethi Filali, Ala Al-Fuqaha, Junaid Qadir
Ultimo aggiornamento: 2023-03-05 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2303.02669
Fonte PDF: https://arxiv.org/pdf/2303.02669
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.