Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Adversarial Examples for Semantic Segmentation and Object Detection

Cihang Xie, Jianyu Wang|arXiv (Cornell University)|Mar 24, 2017
Adversarial Robustness in Machine Learning参考文献 33被引用数 93
ひとこと要約

本論文は Dense Adversary Generation (DAG) を導入し、意味セグメンテーションと物体検出を誤らせる知覚できない摂動を作成する。アーキテクチャやタスクを横断した高い転送性を示す。

ABSTRACT

It has been well demonstrated that adversarial examples, i.e., natural images with visually imperceptible perturbations added, generally exist for deep networks to fail on image classification. In this paper, we extend adversarial examples to semantic segmentation and object detection which are much more difficult. Our observation is that both segmentation and detection are based on classifying multiple targets on an image (e.g., the basic target is a pixel or a receptive field in segmentation, and an object proposal in detection), which inspires us to optimize a loss function over a set of pixels/proposals for generating adversarial perturbations. Based on this idea, we propose a novel algorithm named Dense Adversary Generation (DAG), which generates a large family of adversarial examples, and applies to a wide range of state-of-the-art deep networks for segmentation and detection. We also find that the adversarial perturbations can be transferred across networks with different training data, based on different architectures, and even for different recognition tasks. In particular, the transferability across networks with the same architecture is more significant than in other cases. Besides, summing up heterogeneous perturbations often leads to better transfer performance, which provides an effective method of black-box adversarial attack.

研究の動機と目的

  • 敵対的例を画像分類から意味セグメンテーションと物体検出へ拡張する。
  • Dense Adversary Generation (DAG) を提案し、多数のターゲットに同時に摂動を最適化する。
  • 摂動が異なるアーキテクチャ、トレーニングデータ、タスクを持つネットワーク間で転送可能であることを示す。
  • 提案密度や摂動の融合など、攻撃の頑健性に影響を与える要因を調査する。

提案手法

  • ターゲット T をピクセル/受容野または物体提案として定義する。
  • 誤ったクラスのランダム置換によって敵対ラベル L' を割り当てる。
  • 多ターゲット損失 L = sum_n (f_l_n(X,t_n) - f_l'_n(X,t_n)) を最小化する。
  • 誤分類ターゲットの勾配から摂動 r_m を反復的に計算し、無限ノルムで正規化する。
  • 画像 X_m+1 = X_m + r'_m を更新する;すべてのターゲットが誤分類されるか、固定反復数後に停止する(セグメンテーションは 200、検出は 150)。
  • 摂動後に新しい提案へ頑健になるよう、提案密度(NMS の IOU閾値)を増加させる。

実験結果

リサーチクエスチョン

  • RQ1セグメンテーションの密なターゲット集合や大規模検出パイプラインに対して敵対的摂動を生成できるか。
  • RQ2同じ/異なるアーキテクチャ、トレーニングデータ、さらには異なるタスク間で摂動は転送されるか。
  • RQ3入力提案の密度が攻撃の有効性と収束にどう影響するか。
  • RQ4複数モデルからの摂動を組み合わせることが転送性と攻撃強度に与える影響は何か。

主な発見

ネットワークORIGADVRPERM
FCN-Alex48.043.9848.04
FCN-Alex*48.923.9848.91
FCN-VGG65.494.0965.47
FCN-VGG*67.094.1867.08
FR-ZF-0758.703.6158.33
FR-ZF-071261.071.9560.94
FR-VGG-0769.145.9268.68
FR-VGG-071272.073.3671.97
  • 摂動後、セグメンテーションの mIOU と検出の mAP が著しく低下する。
  • より密な提案集合(NMS でのより高い IOU)は、より強い敵対的効果と遅い収束をもたらす。
  • 摂動の知覚性はタスクを通じて非常に低く、知覚不能性を確保する。
  • 同一アーキテクチャの異なるデータで訓練されたモデル間で摂動はよく転送され、異なるアーキテクチャ間でも一定程度転送される。
  • 複数モデルからの異種摂動を組み合わせると転送性が大幅に向上し、堅牢なブラックボックス攻撃として機能する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。