[論文レビュー] Robust Adversarial Perturbation on Deep Proposal-based Models
この論文は Robust Adversarial Perturbation (R-AP) を導入し、深層提案ベースのオブジェクト検出器とインスタンス分割モデルにおける region proposal networks (RPNs) を普遍的に攻撃し、ブラックボックス設定でラベル予測と形状回帰の両方を標的にすることで性能を劣化させる。
Adversarial noises are useful tools to probe the weakness of deep learning based computer vision algorithms. In this paper, we describe a robust adversarial perturbation (R-AP) method to attack deep proposal-based object detectors and instance segmentation algorithms. Our method focuses on attacking the common component in these algorithms, namely Region Proposal Network (RPN), to universally degrade their performance in a black-box fashion. To do so, we design a loss function that combines a label loss and a novel shape loss, and optimize it with respect to image using a gradient based iterative algorithm. Evaluations are performed on the MS COCO 2014 dataset for the adversarial attacking of 6 state-of-the-art object detectors and 2 instance segmentation algorithms. Experimental results demonstrate the efficacy of the proposed method.
研究の動機と目的
- 物体検出とインスタンス分割に用いられる深層提案ベースのモデルにおける敵対的脆弱性の研究を動機づける。
- Region Proposal Networks (RPN) に焦点を当て、完全なモデルアクセスなしに下流の予測を劣化させる普遍的な攻撃を提案する。
- RPN の性能を損なうため、ラベル破壊と形状回帰の撹乱を組み合わせた新しい損失を導入する。
- MS COCO 2014 で複数の検出器とセグメンターに対する R-AP の有効性を実証する。
- 安全性が重要なCVアプリケーションに対する堅牢性への影響の可能性を強調する。
提案手法
- 入力画像に対する敵対的摂動を生成するために、損失 L = Llabel + Lshape を定義しつつ、PSNR を閾値以上に保つ。
- Llabel は陽性提案の確信度を低減させることで確率を攪乱する(zj log(sj))。
- Lshape は予測されたオフセットを大きな事前設定ターゲット(τx, τy, τw, τh)に向けて導くことで RPN の形状回帰を攪乱する。
- L を最小化するように、スケールされた正規化勾配ステップ pt で画像を反復的に更新し、妥当なピクセル範囲にクリップし、PSNR ε を課す。
- 複数の RPN アーキテクチャからの摂動を組み合わせてブラックボックス耐性を高める(P = α · ∑_{i=1}^5 p_i)。
- MS COCO 2014 上で6つの検出器と2つのインスタンス分割法に対して評価し、劣化を示す。
実験結果
リサーチクエスチョン
- RQ1RPN を標的とする普遍的な摂動は、モデル特定のアクセスなしに幅広い深層提案ベースの検出器とセグメンターを劣化させることができるか?
- RQ2ラベル破壊と形状回帰の撹乱を結合することで、ラベルのみを標的とするよりも劣化が強くなるか?
- RQ3異なる RPN バックボーンおよびブラックボックス設定で R-AP はどのように機能するか?
主な発見
| モデル | Origin (mAP 0.5/0.7) | Random (mAP 0.5/0.7) | v16 (p1) (mAP 0.5/0.7) | mn (p2) (mAP 0.5/0.7) | rn50 (p3) (mAP 0.5/0.7) | rn101 (p4) (mAP 0.5/0.7) | rn152 (p5) (mAP 0.5/0.7) | P = α ·∑5 i=1 pi (mAP 0.5/0.7) |
|---|---|---|---|---|---|---|---|---|
| FR-v16 | 59.2/47.3 | 58.7/46.5 | 5.1/3.1 | 34.8/22.2 | 47.9/36.8 | 52.7/42.4 | 55.5/45.0 | 54.5/43.8 |
| FR-mn | 47.1/32.6 | 46.5/32.6 | 34.8/22.2 | 11.0/6.1 | 39.5/25.7 | 52.8/41.2 | 60.0/49.4 | 54.5/43.8 |
| FR-rn50 | 59.5/49.4 | 59.6/48.9 | 47.9/36.8 | 56.7/45.2 | 10.5/6.6 | 50.0/39.2 | 50.0/39.2 | 31.3/21.3 |
| FR-rn101 | 63.5/53.6 | 63.2/53.2 | 52.7/42.4 | 60.6/50.2 | 16.8/11.0 | 16.8/11.0 | 26.0/20.0 | 37.9/27.2 |
| FR-rn152 | 64.8/54.5 | 64.6/54.4 | 55.5/45.0 | 62.3/51.4 | 17.3/10.6 | 11.0/6.6 | 41.4/30.1 | 47.0/35.9 |
| RFCN (P) | 60.1/50.0 | 59.9/49.6 | 54.5/43.8 | 57.5/46.6 | 53.7/42.6 | 52.0/40.4 | 47.0/35.9 | 13.1/14.1 |
- R-AP は、摂動がそれぞれの RPN バックボーンに合わせて調整されると、いくつかの最先端検出器の性能を著しく低下させる(たとえば Fcns 検出器は mAP 0.5 および 0.7 で大幅に低下する)。
- 複数 RPN 摂動の蓄積 P は、ブラックボックス条件下でも顕著な劣化を達成する(RFCN および他の検出器など)。
- ランダムガウシアンノイズと比較して、PSNR が変化するにつれて R-AP は性能の低下を substantially 大きく生む。
- FCIS と Mask R-CNN に対するインスタンス分割でも攻撃の有効性が示され、0.5および0.7で意味のある mAP の低下を達成。
- 本研究は RPN を深層提案ベースのモデルの普遍的な脆弱点として確認し、検出と分割のパイプラインの両方に影響を及ぼすことを示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。