SAAIPAA: Optimizing aspect-angles-invariant physical adversarial attacks on SAR target recognition models

O artigo apresenta o SAAIPAA, um novo quadro de ataque adversarial físico invariante aos ângulos de aspecto que otimiza a posição e orientação de refletores para enganar modelos de reconhecimento automático de alvos em radar de abertura sintética (SAR) mesmo sem conhecimento prévio dos ângulos de visão da plataforma, alcançando altas taxas de sucesso em cenários de caixa branca e preta.

O essencial

Imagine que você tem um robô superinteligente (um modelo de Inteligência Artificial) que trabalha como um guarda de segurança. A única coisa que esse robô "vê" são fotos tiradas por um radar especial chamado SAR (Radar de Abertura Sintética). Diferente de uma câmera comum que tira fotos com luz, o radar usa ondas de rádio para "enxergar" através de nuvens, fumaça e até no escuro total.

O robô é treinado para identificar tanques, caminhões e outros veículos nessas fotos de radar. Se ele vê um tanque, ele grita: "É um tanque!".

Agora, imagine que um gênio malandro (o atacante) quer enganar esse robô. Ele não quer destruir o tanque nem derrubar o robô. Ele quer apenas fazer o robô "alucinar" e dizer que o tanque é um caminhão de leite, ou que não é nada.

O Problema: O "Óculos" do Robô

Antes deste trabalho, os malandros sabiam exatamente de onde o radar estava olhando. Era como se o malandro soubesse que o robô estava usando óculos de sol e sabia exatamente o ângulo do sol para colocar um espelho e cegar o robô. Se o robô mudasse de lugar ou de ângulo, o truque não funcionava.

A Solução: O "Camaleão" (SAAIPAA)

Os autores deste artigo criaram uma nova técnica chamada SAAIPAA. Pense nela como um truque de mágica que funciona de qualquer ângulo.

Eles não precisam saber onde o radar está olhando. Eles usam um conjunto de refletores triangulares (pequenas estruturas metálicas que refletem ondas de rádio muito bem, como espelhos para radar) e os colocam ao redor do alvo (o tanque).

Aqui está a mágica em linguagem simples:

1. O Jogo de Espelhos: Imagine que você tem 4 espelhos triangulares. O malandro calcula exatamente onde colocá-los e como girá-los.
2. A Cobertura Total: A ideia é que, não importa de onde o radar olhe (de cima, de baixo, de frente, de lado), pelo menos um desses espelhos vai brilhar intensamente para o radar.
3. A Ilusão: Esse brilho extra engana o cérebro do robô. O robô, ao ver esse brilho estranho, pensa: "Nossa, isso não parece um tanque, parece um caminhão!" e muda a classificação.

Como eles fizeram isso? (A Receita do Bolo)

• Física, não Magia: Eles não chutaram onde colocar os espelhos. Eles usaram matemática e física complexas para simular como as ondas de rádio batem nesses espelhos e voltam para o radar. É como se eles fizessem um filme de ficção científica no computador para testar milhões de posições antes de colocar os espelhos reais.
• O "Caixa" Mágica: Como as fotos de radar são meio confusas para humanos (parecem manchas brilhantes e escuras), eles criaram um método para desenhar uma "caixa" ao redor do alvo em todas as fotos. Isso ajuda a garantir que os espelhos sejam colocados no lugar certo, mesmo que a foto esteja um pouco torta.
• O Treinamento: Eles usaram um algoritmo de "evolução" (como se fosse um jogo de seleção natural) para testar milhões de combinações de posições e escolher a melhor.

Os Resultados: O Robô Caiu na Traça!

O teste foi impressionante:

• Sem saber o ângulo: Mesmo sem saber de onde o radar estava olhando, o truque funcionou em mais de 65% dos casos. Isso é muito alto para algo tão difícil.
• Sabendo o ângulo: Se o malandro souber exatamente onde o radar está, o truque funciona em 99% dos casos! É como se o robô fosse completamente cego.
• Funciona em outros robôs: O truque que eles criaram para enganar um tipo de robô (AConvNet) também funcionou para enganar outros robôs diferentes (como ResNet e DenseNet), mesmo sem eles terem treinado especificamente para esses outros.

Por que isso importa?

Este trabalho é um alerta importante. Ele mostra que, mesmo com radares avançados que veem através de nuvens e escuridão, a Inteligência Artificial que interpreta essas imagens ainda é frágil. Um atacante pode, teoricamente, colocar alguns triângulos de metal perto de um veículo militar e fazer o sistema de defesa do inimigo "ver" algo que não é verdade.

Em resumo: Os autores criaram um "disfarce de radar" que funciona como um camaleão, enganando a visão do robô independentemente de onde ele esteja olhando, usando apenas a física do reflexo e um pouco de matemática inteligente.

Resumo técnico

Título: SAAIPAA: Otimização de Ataques Adversariais Físicos Invariantes a Ângulos de Aspecto em Modelos de Reconhecimento de Alvos SAR

1. Problema e Contexto

O Radar de Abertura Sintética (SAR) é uma tecnologia crucial para sensoriamento remoto em todas as condições climáticas e horários, frequentemente utilizada em conjunto com Reconhecimento Automático de Alvos (ATR) baseado em Aprendizado de Máquina (ML). Embora os modelos de ML tenham melhorado a precisão do ATR, eles são vulneráveis a ataques adversariais.

O problema central abordado neste trabalho é a limitação dos Ataques Adversariais Físicos (PAAs) existentes no domínio SAR. A maioria das pesquisas anteriores assume que o atacante conhece com precisão os ângulos de aspecto (ângulo de incidência e azimute) da plataforma SAR em relação ao alvo. Essa premissa é irrealista em cenários operacionais reais, onde o atacante não tem acesso a essas informações. Além disso, as abordagens anteriores não modelam rigorosamente como o sinal refletido varia com os ângulos de aspecto, dificultando a transição de perturbações digitais para o domínio físico.

2. Metodologia Proposta: SAAIPAA

Os autores propõem o SAAIPAA (SAR Aspect-Angles-Invariant Physical Adversarial Attack), um framework que gera ataques físicos robustos independentemente dos ângulos de aspecto da plataforma SAR.

• Vetores de Ataque Físico: O ataque utiliza refletores de canto triédricos (corner reflectors) passivos, posicionados no solo e/ou sobre o objeto-alvo. O objetivo é manipular o sinal de retorno do radar para enganar o modelo de classificação.
• Modelagem Física Rigorosa:
  • O framework modela o sinal refletido como uma função dos ângulos de aspecto e das propriedades físicas dos refletores.
  • Utiliza a Óptica Física (PO) e a Óptica Geométrica (GO) para calcular as correntes superficiais e os componentes do campo elétrico distante para múltiplos caminhos de reflexão (simples, duplo e triplo).
  • Simula a cadeia completa de processamento SAR: demodulação quadrática (QD) e formação de imagem via algoritmo Range-Doppler (RDA).
• Formulação de Otimização:
  • O problema é formulado como a minimização de uma função de perda (cross-entropy) média sobre uma distribuição de observações com diferentes ângulos de aspecto.
  • O atacante otimiza as posições $(x, y)$ e orientações (ângulo de incidência $\theta$ e azimute $\phi$) de $m$ refletores.
  • Para garantir cobertura em todo o domínio de visão, os ângulos de azimute dos refletores são distribuídos uniformemente.
• Mapeamento Geométrico (Bounding Boxes):
  • Para lidar com desalinhamentos em conjuntos de dados densamente amostrados (como o MSTAR), os autores propõem um método para gerar caixas delimitadoras (bounding boxes) consistentes. Isso usa o objeto-alvo como referência espacial, permitindo mapear corretamente as perturbações físicas para as coordenadas da imagem SAR.
• Algoritmo de Otimização:
  • Foram comparados algoritmos evolutivos (Differential Evolution - DE, Particle Swarm Optimization - PSO) e Bayesian Optimization (BO).
  • O Differential Evolution (DE) mostrou-se superior, alcançando a menor perda e maior taxa de engano.

3. Principais Contribuições

1. Invariância a Ângulos de Aspecto: O SAAIPAA dispensa o conhecimento prévio dos ângulos de aspecto da plataforma SAR, tornando o ataque viável em cenários reais onde essa informação é desconhecida.
2. Modelagem Física End-to-End: A formulação integra rigorosamente a física da reflexão do sinal e o processo de formação de imagem SAR, permitindo a otimização direta sobre o domínio físico/sinal, não apenas sobre a imagem digital.
3. Método de Bounding Box para SAR: Uma técnica inovadora para alinhar espacialmente perturbações físicas em imagens SAR densamente amostradas, superando problemas de desalinhamento de alvos.
4. Análise de Eficiência e Eficácia: Uma investigação abrangente sobre o número de refletores, espaçamento de amostragem de treinamento e estratégias de otimização.

4. Resultados Experimentais

Os experimentos foram realizados utilizando o conjunto de dados MSTAR e modelos de rede neural profunda (AConvNet, ResNet50, DenseNet-121, MobileNetV2, AlexNet).

• Cenário White-Box (Atacante conhece o modelo):
  • Com 4 refletores e ângulos de aspecto desconhecidos, o SAAIPAA alcançou uma taxa de engano média (fooling rate) de 65,8% no conjunto de teste.
  • Ao aumentar para 8 refletores, a taxa subiu para 88,3%.
  • Se o atacante tiver conhecimento total dos ângulos de aspecto (cenário idealizado de trabalhos anteriores), a taxa de engano atinge 99,2%.
  • Em comparação, configurações aleatórias de refletores com a mesma cobertura angular tiveram apenas 10,3% de taxa de engano, provando que a otimização é crucial.
• Generalização e Transferibilidade:
  • O ataque generaliza bem para ângulos de azimute não vistos durante o treinamento. Mesmo com amostragem de treinamento muito grosseira (espaçamento de 90°), foi alcançada uma taxa de engano de 52,5%.
  • Transferência Black-Box: O ataque demonstrou boa transferibilidade entre diferentes arquiteturas de redes neurais (ex: treinado em ResNet50 e testado em DenseNet121), embora tenha sido menos eficaz contra o MobileNetV2.
• Conhecimento Parcial: Mesmo com incertezas nos ângulos de aspecto (até 90°), o ataque mantém eficácia significativa (47,3%), aumentando conforme a incerteza diminui.

5. Significância e Conclusão

O trabalho demonstra que é possível realizar ataques físicos evasivos contra sistemas de reconhecimento de alvos SAR sem o conhecimento crítico dos ângulos de observação da plataforma. Isso representa um avanço significativo em relação ao estado da arte, que exigia cenários idealizados.

• Implicações de Segurança: A descoberta de que modelos de ATR SAR são vulneráveis a perturbações físicas simples (refletores de canto) em ângulos desconhecidos levanta preocupações sérias sobre a segurança de sistemas de vigilância e defesa baseados em SAR.
• Viabilidade Prática: O ataque é realizável fisicamente, utilizando materiais passivos de baixo custo e fácil instalação.
• Futuro: O estudo destaca a necessidade de desenvolver defesas robustas que considerem a variabilidade dos ângulos de aspecto e a presença de objetos físicos maliciosos no ambiente.

Em resumo, o SAAIPAA estabelece um novo padrão para a avaliação de segurança de modelos de ML em SAR, provando que a invariância a ângulos de aspecto é um fator crítico que deve ser considerado tanto no desenvolvimento de ataques quanto na criação de defesas.