Skip to main content
QUICK REVIEW

[論文レビュー] On Physical Adversarial Patches for Object Detection

Mark Lee, J. Zico Kolter|arXiv (Cornell University)|Jun 20, 2019
Adversarial Robustness in Machine Learning参考文献 13被引用数 115
ひとこと要約

本論文は、YOLOv3の全検出を抑制する物理的敵対パッチを提示し、パッチから離れた物体にも効果があること、またデジタルおよびリアルタイムのウェブカメラ攻撃がDPatchなど従来のパッチ手法を上回ることを実証する。

ABSTRACT

In this paper, we demonstrate a physical adversarial patch attack against object detectors, notably the YOLOv3 detector. Unlike previous work on physical object detection attacks, which required the patch to overlap with the objects being misclassified or avoiding detection, we show that a properly designed patch can suppress virtually all the detected objects in the image. That is, we can place the patch anywhere in the image, causing all existing objects in the image to be missed entirely by the detector, even those far away from the patch itself. This in turn opens up new lines of physical attacks against object detection systems, which require no modification of the objects in a scene. A demo of the system can be found at https://youtu.be/WXnQjbZ1e7Y.

研究の動機と目的

  • 物体検出システムの脆弱性に対する物理的敵対パッチの研究を動機づける。
  • 特定の物体を標的とするのではなく、すべての検出を抑制するパッチベースの攻撃を開発する。
  • 普遍的なパッチが位置、距離、照明条件の変化にも適用できることを示す。
  • COCOでおよびリアルタイムのウェブカメラシナリオで攻撃を評価する。
  • 従来のパッチ手法(DPatch)と比較し、なぜ改善が起きるのかを分析する。

提案手法

  • PGDを用いた期待値変換に基づく非標的パッチ攻撃を定式化する。
  • パッチ適用関数 A(δ, x, t) を使用して、画像 x にパッチ δ を t の変換下で貼り付け、検出器の損失 J を最大化する。
  • 有効範囲を保つようにクリッピングを適用し、局所凸性の問題を緩和するためにランダムリスタートを用いて繰り返す。
  • COCO検証セットで、非クリッピングおよびクリッピングの両方のバリアントを評価し、mAPとクラスごとのAPを測定する。
  • パッチを印刷してリアルタイム webcam 経由でYOLOv3を攻撃することで物理的実現を実証する。

実験結果

リサーチクエスチョン

  • RQ1非重ね合わせの敵対パッチがYOLOv3のような物体検出器の全検出を抑制できるか?
  • RQ2パッチベース攻撃は非標的設定において従来手法(DPatch)とどう比較されるか?
  • RQ3物理的に印刷されたパッチは距離・角度・照明・動作の変化の下で敵対的効果を保持するか?
  • RQ4未クリッピング対クリッピング攻撃設定での全体的なmAPおよびクラス別APへの影響は?
  • RQ5現実世界のリアルタイム検出への攻撃移植性はあるか?

主な発見

  • 非重複の敵対パッチは非標的攻撃下でYOLOv3のmAPを55.4から単一桁値へ低下させる。
  • 提案手法はクリッピング有無を問わずDPatchよりはるかに低いmAPを達成する。
  • 変換を含むクリップ済みパッチでも抑制効果は強く、非クリッピング時のmAPは7.2、クリッピング時も7.2(表2の値)。
  • 非クリッピング実験では、パッチのスケールに応じてmAPを0.05–0.25まで低下させ、DPatchの向上したmAP値(表1の9.21–39.6の範囲)を上回る。
  • 物理的パッチは標準用紙に印刷され、リアルタイムのウェブカメム攻撃で検出を抑制するが、距離が離れると有効性は低下し、遠距離物体にはより大きなパッチが必要。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。