[論文レビュー] Adversarial Examples for Semantic Image Segmentation
この論文は敵対的事例をセマンティックセグメンテーションに適用し、知覚不能な摂動が選択されたクラス(例:人物)のほとんどの画素を覆い隠す一方で画像の他の部分を保持できることを示す。攻撃者の転送性を示し、攻撃の有効性を測る指標を提供する。
Machine learning methods in general and Deep Neural Networks in particular have shown to be vulnerable to adversarial perturbations. So far this phenomenon has mainly been studied in the context of whole-image classification. In this contribution, we analyse how adversarial perturbations can affect the task of semantic segmentation. We show how existing adversarial attackers can be transferred to this task and that it is possible to create imperceptible adversarial perturbations that lead a deep network to misclassify almost all pixels of a chosen class while leaving network prediction nearly unchanged outside this class.
研究の動機と目的
- 画像分類を超えて、セマンティックセグメンテーションにおける敵対的摂動を動機づけ、研究する。
- 敵対的摂動のセグメンテーションモデルへの転送可能性を示す。
- セグメンテーションの敵対的ターゲットを定義し、実データセット上での有効性を定量化する。
- 摂動が画素レベルのクラス予測にどのように影響するかを評価し、攻撃成功の指標を提供する。
提案手法
- セマンティックセグメンテーションには完全畳み込みネットワークを使用する(VGG16をバックボーンとするFCN8)。
- 最もありそうでない敵対的摂動法を採用して、指定したターゲットクラスへ予測を変える摂動を作成する。
- ピクセルレベルで敵対的ターゲットを定義し、選択したクラスのすべてのピクセルを、最寄りの非ターゲット隣接クラスのクラスに置換し、他のピクセルは変更しない。
- 最大 epsilon までをクリップされた l-infinity 制約で反復的に摂動を更新する。式: xi^(n+1)=Clip_epsilon{xi^(n) - alpha * sgn(∇_x J_cls(f_theta(x+xi^(n)), y_target))} ただし alpha=1。
- Cityscapes 上で摂動を評価し、欺かれたターゲットクラスの画素の割合と背景の保持度を測定する。
- 摂動をターゲットクラスのピクセルのみに適用する制限を検討する。)
実験結果
リサーチクエスチョン
- RQ1標準的な敵対的摂動法はセマンティックセグメンテーション課題に転用できるか?
- RQ2知覚できない摂動は、セマンティックセグメンテーションにおけるターゲットクラスのピクセル予測をどれほど騙せるか?
- RQ3特定のクラス(例:人物ピクセル)に摂動を制限すると、攻撃の有効性は影響を受けるか?
- RQ4セマンティックセグメンテーションにおける敵対的攻撃の成功を最も適切に捉える指標は何か?
主な発見
- 敵対的摂動は、ターゲットクラスの大部分(例:人物)を誤ラベルにしつつ、背景の大部分を保持することができる。
- epsilon ≈ 10 のとき、全画像に摂動を適用すると、人物ピクセルの約85%以上が隠され、背景ピクセルの約97%以上が保持される。
- 摂動を人物ピクセルに限定すると、小さな epsilon では騙された画素数は減るが、背景の保持は高いままで、epsilon が大きくなると改善する。
- 摺動は視覚的に検出されにくいことが多い。
- このアプローチは、未変更画像上でネットワーク自身の予測から導かれたターゲットを用いて効果を測定する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。