Skip to main content
QUICK REVIEW

[論文レビュー] Object Hider: Adversarial Patch Attack Against Object Detectors

Yusheng Zhao, Huanqian Yan|arXiv (Cornell University)|Oct 28, 2020
Adversarial Robustness in Machine Learning参考文献 5被引用数 23
ひとこと要約

本稿では、物体検出モデルを攻撃するための2つの新しい敵対的パッチ生成手法——ヒートマップベースとコンSENSUSベース——を提案する。勾配可視化とマルチモデル投票を活用することで、スパースで転送性の高いパッチを生成し、最先端の検出器から物体を効果的に隠すことに成功し、アリババ AIC 競争で3000点を超えるスコアを達成した。これは、高い有効性と一般化性能を示している。

ABSTRACT

Deep neural networks have been widely used in many computer vision tasks. However, it is proved that they are susceptible to small, imperceptible perturbations added to the input. Inputs with elaborately designed perturbations that can fool deep learning models are called adversarial examples, and they have drawn great concerns about the safety of deep neural networks. Object detection algorithms are designed to locate and classify objects in images or videos and they are the core of many computer vision tasks, which have great research value and wide applications. In this paper, we focus on adversarial attack on some state-of-the-art object detection models. As a practical alternative, we use adversarial patches for the attack. Two adversarial patch generation algorithms have been proposed: the heatmap-based algorithm and the consensus-based algorithm. The experiment results have shown that the proposed methods are highly effective, transferable and generic. Additionally, we have applied the proposed methods to competition "Adversarial Challenge on Object Detection" that is organized by Alibaba on the Tianchi platform and won top 7 in 1701 teams. Code is available at: https://github.com/FenHua/DetDak

研究の動機と目的

  • 最先端の物体検出モデルが敵対的パッチ攻撃に対してどれほど脆弱であるかを調査すること。
  • 物体検出から物体を隠せる実用的で転送性の高い敵対的パッチを開発すること。
  • 勾配ベースのサリエンシー可視化を改善し、Grad-CAM を複数オブジェクトおよびスケールに敏感な状況に拡張すること。
  • 複数モデル間でのコンセンサスベースの投票戦略を用いて、パッチの局所化と攻撃の転送性を向上させること。
  • アリババのアドバーシャルチャレンジ(物体検出)を含む実世界のベンチマークで高い攻撃性能を達成すること。

提案手法

  • 中間畳み込み層における勾配加重クラス活性化マップを計算することで、Grad-CAM を物体検出に適応し、勾配と特徴マップの要素ごとの乗算によって空間情報を保持する。
  • 複数のオブジェクトと異なるスケールに対応するための正規化および集約戦略を導入し、多様な入力画像においても頑健なヒートマップ生成を実現する。
  • 複数のターゲットモデルを同時に攻撃し、投票によって結果を統合することで、高影響力のパッチ領域を同定するコンセンサスベースのパッチ選択法を提案する。
  • 選択された領域に対して、Fast Gradient Sign Method (FGSM) を適用し、最大のモデル誤分類を達成するように反復的に最適化する。
  • パッチマスクに二値グリッド行列を適用することで、グリッド型のスパース化を実装し、ピクセル数を削減しながらも攻撃効果を維持する。
  • 異なるパッチスケール(20, 50, 70)とグリッド比(0.5, 0.6, 0.7)を組み合わせたアンサンブル戦略を用いることで、性能と転送性を向上させる。

実験結果

リサーチクエスチョン

  • RQ1勾配ベースのサリエンシー地図は、複数オブジェクトを含む物体検出モデルに効果的に適応可能か? また、敵対的パッチの配置をガイドできるか?
  • RQ2複数モデル間でのコンセンサスベースのパッチ選択は、単一モデルのガイドに比べて攻撃の転送性をどのように向上させるか?
  • RQ3グリッド型のスパースな敵対的パッチは、最小限のピクセル摂動でどれほど高い攻撃成功率を達成できるか?
  • RQ4提案手法はアリババ AIC 競争のような実世界のベンチマークでどれほど有効か?
  • RQ5スケールとスパarsityのアンサンブルを組み合わせることで、攻撃性能と耐性はどの程度向上するか?

主な発見

  • コンセンサスベース手法がヒートマップベース手法を上回り、アンサンブルを用いた場合に3071点(ヒートマップベース:2713点)を記録した。これは、優れた転送性と局所化性能を示している。
  • グリッド型パッチとスケールアンサンブルを用いることで、アリババ AIC 競争で3000点を超えるスコアを達成し、1701チーム中上位7位にランクインした。
  • ヒートマップベース手法は、複数オブジェクトおよびスケールの勾配を正規化・集約することで、物体検出に適応され、効果的なサリエンシー可視化が可能になった。
  • グリッド型のスパース化により、摂動を加えるピクセル数を削減しながらも高い攻撃成功率を維持した。これは、効率性と実用性を示している。
  • 複数モデルからの結果を統合することで、コンセンサスベースのアプローチは、単一モデル手法よりもより頑健で転送性の高いパッチを生成した。
  • 提案手法は、白ボックス(YOLOv4, Faster R-CNN)およびブラックボックスの検出モデルの両方で汎用的かつ効果的であり、強い転送性を確認した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。