[論文レビュー] Pasadena: Perceptually Aware and Stealthy Adversarial Denoise Attack
本論文では、画像のノイズ除去パイプラインにすばやく隠された偽のノイズを埋め込み、同時に画像品質を向上させながら深層ニューラルネットワーク(DNN)をだます、新しい敵対的ノイズ除去攻撃「Pasadena」を提案する。敵対的ノイズ除去カーネル予測として問題を定式化し、知覚に配慮した領域局在化を用いることで、複数のノイズタイプやモデルにおいて、高い攻撃成功率(最大84.8%)と画像品質の向上(SSIM上昇最大0.054)を達成した。
Image denoising can remove natural noise that widely exists in images captured by multimedia devices due to low-quality imaging sensors, unstable image transmission processes, or low light conditions. Recent works also find that image denoising benefits the high-level vision tasks, e.g., image classification. In this work, we try to challenge this common sense and explore a totally new problem, i.e., whether the image denoising can be given the capability of fooling the state-of-the-art deep neural networks (DNNs) while enhancing the image quality. To this end, we initiate the very first attempt to study this problem from the perspective of adversarial attack and propose the adversarial denoise attack. More specifically, our main contributions are three-fold: First, we identify a new task that stealthily embeds attacks inside the image denoising module widely deployed in multimedia devices as an image post-processing operation to simultaneously enhance the visual image quality and fool DNNs. Second, we formulate this new task as a kernel prediction problem for image filtering and propose the adversarial-denoising kernel prediction that can produce adversarial-noiseless kernels for effective denoising and adversarial attacking simultaneously. Third, we implement an adaptive perceptual region localization to identify semantic-related vulnerability regions with which the attack can be more effective while not doing too much harm to the denoising. We name the proposed method as Pasadena (Perceptually Aware and Stealthy Adversarial DENoise Attack) and validate our method on the NeurIPS'17 adversarial competition dataset, CVPR2021-AIC-VI: unrestricted adversarial attacks on ImageNet,etc. The comprehensive evaluation and analysis demonstrate that our method not only realizes denoising but also achieves a significantly higher success rate and transferability over state-of-the-art attacks.
研究の動機と目的
- 画像のノイズ除去が高レベルのビジョンタスクに常に利益をもたらすという一般的な仮定に挑戦し、ノイズ除去器がDNNを攻撃するために悪用可能かどうかを調査すること。
- 視覚的品質を損なうことなく、標準的な画像ノイズ除去パイプラインに敵対的攻撃を統合する手法を開発すること。
- 攻撃効果を最大化しつつノイズ除去性能を維持するために、知覚的に脆弱な領域を同定・特定し、的を射た攻撃を施すこと。
- 異なるDNNアーキテクチャやノイズタイプ間で、敵対的例の高い移行性を達成すること。
- ノイズ除去が、視覚的強化とモデル回避を両立させる、巧妙な攻撃ベクトルであることを実証すること。
提案手法
- 画像フィルタリングのためのカーネル予測問題として敵対的ノイズ除去攻撃を定式化し、同時にノイズ除去と敵対的摂動の生成を可能にする。
- 自然ノイズを除去しつつ、目に見えないが的を射た敵対的ノイズを埋め込むカーネルを生成するための敵対的ノイズ除去カーネル予測を提案する。
- 意味的関連性が高く、脆弱性を示しやすい領域を特定し、攻撃を集中させるために、適応的知覚領域局在化を導入する。
- 標準的な画像後処理パイプライン内で攻撃を適用し、実世界のマルチメディアシステムとの互換性を確保する。
- 再構築誤差を最小化する(ノイズ除去のため)と、誤分類損失を最大化する(敵対的成功のため)という二重最適化目的を採用する。
- 複数のノイズタイプと深刻度レベルにおいて、ImageNet、Tiny-ImageNet-C、およびNeurIPS’17コンペティションデータセットを含む多様なデータセットで手法を検証した。
実験結果
リサーチクエスチョン
- RQ1画像ノイズ除去モジュールは、画像品質の向上と同時に効果的な敵対的攻撃を実行するために再利用可能か?
- RQ2視覚的品質を損なわず、検出可能なアーチファクトを残さずに、ノイズ除去プロセス内に敵対的ノイズを埋め込む方法は何か?
- RQ3ノイズ除去と組み合わせた場合、どの画像領域が敵対的摂動に対して最も脆弱であり、どのようにしてその領域を適応的に局在化できるか?
- RQ4提案手法の攻撃は、異なるDNNアーキテクチャやノイズタイプ間でどの程度高い移行性を維持するか?
- RQ5SSIMのような画像品質指標で測定可能な向上を達成しながら、高い攻撃成功率を実現できるか?
主な発見
- NeurIPS’17データセットにおいて、ショットノイズ(深刻度レベル2)下でResNet-101に対して74.8%の攻撃成功率を達成し、SSIMを0.735から0.790に向上させた。
- Tiny-ImageNet-Cにおいて、ショットノイズ(深刻度レベル1)下でResNet-101に対して84.8%の成功確率を達成し、SSIMを0.828から0.844に向上させた。
- インパulseノイズの場合、高い成功率(最大86.0%)を維持し、深刻度レベル1でSSIMを0.833から0.837に向上させた。
- 本手法は強力な移行性を示し、すべての深刻度レベルで未観測モデル(EfficientNetなど)に対しても30%の成功率を達成した。
- 画像品質の向上は、ノイズの深刻度が高い場合に顕著に現れ、一部のケースではSSIM上昇が0.05を超えた。
- 本手法は、攻撃成功率と移行性の両面で最先端の攻撃を上回りつつ、同時に画像の忠実度を向上させた。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。