Skip to main content
QUICK REVIEW

[論文レビュー] Note on Attacking Object Detectors with Adversarial Stickers

Kevin Eykholt, Ivan Evtimov|arXiv (Cornell University)|Dec 21, 2017
Adversarial Robustness in Machine Learning参考文献 9被引用数 37
ひとこと要約

本論文では、ストップ・サインなどの実世界の物体に適用可能な小さな印刷可能な摂動を生成することで、YOLO や Faster-RCNN のオブジェクト検出器を効果的にだます物理的 adversarial ステッカー攻撃を提示している。この手法は、多様な物理的条件をシミュレートし、平行移動不変性を強制する最適化ベースのアルゴリズムを用い、現実の制約下でも静的画像および動的動画シナリオにおいて高い成功率を達成している。

ABSTRACT

Deep learning has proven to be a powerful tool for computer vision and has seen widespread adoption for numerous tasks. However, deep learning algorithms are known to be vulnerable to adversarial examples. These adversarial inputs are created such that, when provided to a deep learning algorithm, they are very likely to be mislabeled. This can be problematic when deep learning is used to assist in safety critical decisions. Recent research has shown that classifiers can be attacked by physical adversarial examples under various physical conditions. Given the fact that state-of-the-art objection detection algorithms are harder to be fooled by the same set of adversarial examples, here we show that these detectors can also be attacked by physical adversarial examples. In this note, we briefly show both static and dynamic test results. We design an algorithm that produces physical adversarial inputs, which can fool the YOLO object detector and can also attack Faster-RCNN with relatively high success rate based on transferability. Furthermore, our algorithm can compress the size of the adversarial inputs to stickers that, when attached to the targeted object, result in the detector either mislabeling or not detecting the object a high percentage of the time. This note provides a small set of results. Our upcoming paper will contain a thorough evaluation on other object detectors, and will present the algorithm.

研究の動機と目的

  • 最新のオブジェクト検出器(YOLO や Faster-RCNN など)が物理的 adversarial 例に対してどれほど脆弱であるかを調査すること。
  • さまざまな照明、視点、運動の変化といった現実の物理的条件下で効果を発揮する、耐障害性があり印刷可能な adversarial ステッカーを生成する手法を開発すること。
  • YOLO に対して生成された adversarial ステッカーが、ブラックボックス設定下で Faster-RCNN などの他の検出器へどのように転送可能であるかを評価すること。
  • 分類器よりも頑健であるとされるオブジェクト検出器が、注意深く設計された物理的摂動によっても依然としてだまされ得ることを示すこと。

提案手法

  • 最適化ベースのアルゴリズムが、ストップ・サインのようなターゲットオブジェクトの画素を摂動させることで、オブジェクト検出器による誤分類や検出不能を最大化する adversarial ステッカーを生成する。
  • 実世界の展開を想定し、カメラの角度、照明の変動、運動ぼかしなどの多様な物理的条件のシミュレーションを組み込むことで、実用的展開における耐障害性を確保する。
  • 平行移動不変性を明示的に強制することで、オブジェクトがシーン内で位置や方向を変更しても摂動が有効であることを保証する。
  • YOLO 用に生成された同じ adversarial ステッカーを、Faster-RCNN という異なる検出器に対しても攻撃に利用するため、転送性を活用する。
  • 摂動を小さな印刷可能なステッカーに圧縮し、実際の物体に物理的に貼付けて、実世界での有効性をテストする。
  • アプローチは、スマートフォンカメラで撮影した静的画像および動画シーケンスを用いて検証され、自動運転の状況を模擬している。

実験結果

リサーチクエスチョン

  • RQ1現実の物理的条件下で、リアルタイムのオブジェクト検出器 YOLO を物理的 adversarial ステッカーが効果的にだますことができるか?
  • RQ2YOLO 用に設計された adversarial ステッカーが、ブラックボックス設定下で Faster-RCNN などの他の検出器へどの程度転送可能か?
  • RQ3最適化段階で物理的条件のシミュレーションを組み込むことで、実世界展開における adversarial ステッカーの耐障害性はどの程度向上するか?
  • RQ4ターゲットオブジェクトがシーン内で移動したり位置が変わったりしても、平行移動不変性を持つ摂動が高い攻撃成功率を維持できるか?
  • RQ5特に自動運転の文脈において、動的動画シナリオにおける adversarial ステッカーの性能はいかがなものか?

主な発見

  • さまざまなカメラの角度や照明条件下で、静的画像テストにおいて YOLO がストップ・サインを誤分類または検出しなかった割合が 100% に達した。
  • 動的動画シーケンスにおいては、カメラが数フィート以内に近づいた場合にのみ YOLO がストップ・サインを検出していたため、現実の条件下で応答遅延が顕著に現れた。
  • 同じステッカーは Faster-RCNN をも高確率でだましたことから、ブラックボックス攻撃においても効果的な転送性が確認された。
  • 物理的条件のシミュレーションと平行移動不変性の導入により、adversarial ステッカーの耐障害性と実世界での有効性が顕著に向上した。
  • ターゲットオブジェクトが移動したり再配置されても攻撃が有効であったため、最適化プロセスにおける平行移動不変性の重要性が裏付けられた。
  • 結果として、分類器よりも頑健であるとされるオブジェクト検出器でさえ、洗練された物理的 adversarial 例によっても依然としてだまされ得ることが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。