Skip to main content
QUICK REVIEW

[論文レビュー] Attacking Object Detectors via Imperceptible Patches on Background.

Yuezun Li, Xian Bian|arXiv (Cornell University)|Sep 16, 2018
Adversarial Robustness in Machine Learning参考文献 18被引用数 14
ひとこと要約

本論文は、バックグラウンド領域に著しく見えない悪意のあるパッチを生成する新規な攻撃手法を提案する。この手法は、バックボーンネットワークの大きな受容 field を活用し、1ショット検出器(SSD)の性能を著しく低下させる。MS COCO 2014 上の13の最先端検出器に対して、わずか数個のバックグラウンドパッチを変更するだけで、真陽性を著しく低下させ、偽陽性を増加させる。この攻撃は高い転送性と隠密性を示している。

ABSTRACT

Recent works succeeded to generate adversarial perturbations on the entire image or the object of interests to corrupt CNN based object detectors. In this paper, we focus on exploring the vulnerability of the Single Shot Module (SSM) commonly used in recent object detectors, by adding small perturbations to patches in the background outside the object. The SSM is referred to the Region Proposal Network used in a two-stage object detector or the single-stage object detector itself. The SSM is typically a fully convolutional neural network which generates output in a single forward pass. Due to the excessive convolutions used in SSM, the actual receptive field is larger than the object itself. As such, we propose a novel method to corrupt object detectors by generating imperceptible patches only in the background. Our method can find a few background patches for perturbation, which can effectively decrease true positives and dramatically increase false positives. Efficacy is demonstrated on 5 two-stage object detectors and 8 single-stage object detectors on the MS COCO 2014 dataset. Results indicate that perturbations with small distortions outside the bounding box of object region can still severely damage the detection performance.

研究の動機と目的

  • 物体のバウンディングボックスの外側に適用された悪意のある摂動が、Single Shot Module(SSM)ベースの物体検出器に与える脆弱性を調査すること。
  • 物体領域を直接変更しないまま、バックグラウンドに小さな目に見えないパッチを適用しても、検出性能が著しく低下するかどうかを検討すること。
  • 最小限のバックグラウンドパッチを特定し、検出器の破壊を最大化すると同時に視覚的になにげない状態を維持する手法を開発すること。
  • 異なる2段階および1段階の物体検出器に対して、攻撃の転送性と耐性を評価すること。

提案手法

  • SSM(2段階検出器の領域提案ネットワークおよび1段階検出器を含む)を標的とし、完全畳み込み構造と広大な有効受容 field の特徴を活かす。
  • 物体のバウンディングボックスの外側のバックグラウンド領域にのみ配置される、小さな目に見えない悪意のあるパッチを生成する最適化プロセスを定式化する。
  • SSM の受容 field が物体領域を越えて広がっていることを利用し、バックグラウンドの摂動が特徴マップや検出ヘッドの予測に影響を与えることを活用する。
  • 視覚的歪み(例:LPIPS や類似の指標)を最小化すると同時に、真陽性率の低下と偽陽性率の上昇を最大化する最適化を実施する。
  • 訓練済みのパッチが再トレーニングなしで他の検出器に対しても効果的に機能するように、転送性を重視した設計である。
  • 勾配ベースの最適化戦略を用い、検出信頼度と局所化精度への攻撃の影響を最大化するパッチを生成する。

実験結果

リサーチクエスチョン

  • RQ1物体のバウンディングボックスの外側に悪意のあるパッチを適用することで、SSM ベースの物体検出器の性能を著しく低下させることができるか?
  • RQ2SSM の大きな受容 field が、バックグラウンドパッチが物体検出結果に影響を与える要因としてどの程度寄与するか?
  • RQ3このようなバックグラウンドに基づく悪意のあるパッチは、異なる2段階および1段階の物体検出器間でどの程度転送可能か?
  • RQ4物体領域外の最小限で目に見えない摂動で、攻撃が非常に高い成功率を達成できるか?
  • RQ5このようなバックグラウンド摂動が、真陽性率や偽陽性率といった主な指標に及ぼす影響は何か?

主な発見

  • 提案された攻撃は、MS COCO 2014 データセット上での13の最先端物体検出器の平均検出精度(AP)を、バックグラウンドパッチのみで著しく低下させた。
  • 小さな目に見えない摂動であっても、真陽性率の著しい低下と偽陽性率の急激な上昇を引き起こした。
  • 攻撃は強く転送可能であり、パッチ生成時に使われなかった検出器に対しても効果的に機能した。
  • 摂動がバックグラウンドに限定されているにもかかわらず、性能の低下が発生した。これは、SSM が長距離の特徴干渉に対して脆弱であることを示している。
  • 視覚的類似度指標による測定で、パッチが人間にとって目に見えないほど高い見えにくさを維持していた。
  • 2段階および1段階の両方のアーキテクチャにわたり、一貫した有効性を示した。これは、SSM の設計に根本的な脆弱性が存在することを示している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。