Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] CosPGD: an efficient white-box adversarial attack for pixel-wise prediction tasks

Shashank Agnihotri, Jung, Steffen|arXiv (Cornell University)|Feb 4, 2023
Adversarial Robustness in Machine Learning被引用数 13
ひとこと要約

CosPGDは、画素単位の予測タスクのための統一的な白箱型敵対的攻撃で、画素ごとのコサイン類似度を用いて損失をスケーリングし、セグメンテーションでSegPGDおよびPGDを上回り、光学フローおよび画像復元へと拡張される。

ABSTRACT

While neural networks allow highly accurate predictions in many tasks, their lack of robustness towards even slight input perturbations often hampers their deployment. Adversarial attacks such as the seminal projected gradient descent (PGD) offer an effective means to evaluate a model's robustness and dedicated solutions have been proposed for attacks on semantic segmentation or optical flow estimation. While they attempt to increase the attack's efficiency, a further objective is to balance its effect, so that it acts on the entire image domain instead of isolated point-wise predictions. This often comes at the cost of optimization stability and thus efficiency. Here, we propose CosPGD, an attack that encourages more balanced errors over the entire image domain while increasing the attack's overall efficiency. To this end, CosPGD leverages a simple alignment score computed from any pixel-wise prediction and its target to scale the loss in a smooth and fully differentiable way. It leads to efficient evaluations of a model's robustness for semantic segmentation as well as regression models (such as optical flow, disparity estimation, or image restoration), and it allows it to outperform the previous SotA attack on semantic segmentation. We provide code for the CosPGD algorithm and example usage at https://github.com/shashankskagnihotri/cospgd.

研究の動機と目的

  • 画素単位予測モデル(セグメンテーション、光学フロー、復元)を対敵撹乱下で堅牢に評価する動機づけ。
  • 分類ライクな画素単位タスクと回帰ライクな画素単位タスクの双方に適用可能な統一攻撃フレームワークを提供。
  • コサインベースの損失スケーリングを用いて既存の画素単位攻撃(SegPGD、PGD)を上回り、画素単位の堅牢性評価を向上させる。
  • 複数のタスクとアーキテクチャにまたがり、非標的および標的設定の両方で適用可能性を示す。

提案手法

  • 予測分布とターゲット分布間の画素ごとのコサイン類似度を用いて最適化中の損失をスケールするために、PGDを拡張する。
  • 予測分布とターゲット分布間の画素ごとのコサイン類似度を計算し、backpropagationのためのL_cosを形成する。
  • l_infinityおよびl2の制限摂動と、標的攻撃と非標的攻撃の両方をサポートする。
  • セグメンテーションはone-hot、ベクトルターゲットにはsoftmaxなど、適切なターゲット表現を用いて、ソフトマックスベースの予測を画素単位の予測として適用する。
  • L_cosの勾配を用いて敵対的サンプルを反復的に更新し、許容摂動範囲と入力範囲へ射影/クリップを行う。
(a) Input at $time=t$
(a) Input at $time=t$

実験結果

リサーチクエスチョン

  • RQ1画素単位のコサイン類似度に基づく統一白箱攻撃は、既存手法より画素単位予測タスクに対してより強力な敵対的撹乱を提供できるか。
  • RQ2CosPGDはセマンティックセグメンテーション、光学フロー、画像復元の各分野、さらに標的設定と非標的設定の両方にどの程度一般化できるか。
  • RQ3CosPGDは同等のepsilonとalpha設定の下で、l_infinityおよびl2ノルムの点でSegPGDおよびPGDと比較してどの程度効果的か。

主な発見

  • CosPGDは、 tested architecturesと datasets のセマンティックセグメンテーションにおいてSegPGDおよびPGDより攻撃力を大幅に向上させる。
  • PASCAL VOC 2012とDeepLabV3で、CosPGDはSegPGD/PGDよりもmIoUとmAccの低下を大きく抑える(例:報告設定で40反復後のmIoUがCosPGD 0.08%、PGD 6.79%、SegPGD 2.69%)。
  • CosPGDは光学フローへ拡張され、ターゲットをより強く狙った攻撃を実現し、終点誤差(epe)をターゲットに近づける(例:Sintel finalでepeが1.55まで低下)。
  • CosPGDは画像復元モデル(Baseline対NAFNet)におけるロバスト性の弱点も露呈させ、特に画素単位情報を活用した場合にSegPGDを上回る。
  • タスクを跨いで、CosPGDは画素単位損失スケーリング(コサイン類似度)を活用することで一貫して利を得ており、比較可能な摂動予算下で従来のPGDおよびSegPGDより優れている。
  • 本手法は画素単位モデルの堅牢性を評価するベンチマークツールとして適しており、回帰・分類風の画素タスクの双方に適用可能である。
(b) Input at $time=t+1$
(b) Input at $time=t+1$

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。