[論文レビュー] Standard detectors aren't (currently) fooled by physical adversarial stop signs
本論文は、標準の検出器(YOLOとFaster R-CNN)に対する物理的な敵対的停止標識を検証し、標準設定では誤作動させられないことを発見しており、従来の分類器中心の攻撃は検出器には直接翻訳されないと主張する。
An adversarial example is an example that has been adjusted to produce the wrong label when presented to a system at test time. If adversarial examples existed that could fool a detector, they could be used to (for example) wreak havoc on roads populated with smart vehicles. Recently, we described our difficulties creating physical adversarial stop signs that fool a detector. More recently, Evtimov et al. produced a physical adversarial stop sign that fools a proxy model of a detector. In this paper, we show that these physical adversarial stop signs do not fool two standard detectors (YOLO and Faster RCNN) in standard configuration. Evtimov et al.'s construction relies on a crop of the image to the stop sign; this crop is then resized and presented to a classifier. We argue that the cropping and resizing procedure largely eliminates the effects of rescaling and of view angle. Whether an adversarial attack is robust under rescaling and change of view direction remains moot. We argue that attacking a classifier is very different from attacking a detector, and that the structure of detectors - which must search for their own bounding box, and which cannot estimate that box very accurately - likely makes it difficult to make adversarial patterns. Finally, an adversarial pattern on a physical object that could fool a detector would have to be adversarial in the face of a wide family of parametric distortions (scale; view angle; box shift inside the detector; illumination; and so on). Such a pattern would be of great theoretical and practical interest. There is currently no evidence that such patterns exist.
研究の動機と目的
- 現実世界に近い条件で、物理的な敵対的停止標識が標準的な検出器を欺くことができるかを評価する。
- 従来の分類器に対する攻撃が検出器には翻訳されない理由を説明する。
- 検出器のボックス予測と局在化が敵対的堅牢性に与える影響を論じる。
- 道路標識シナリオにおける分類器を攻撃することと検出器を攻撃することの区別を明確にする。
提案手法
- Evtimov らの物理的停止標識攻撃に対して、事前学習済みの検出器2つ(YOLOとFaster R-CNN)を適用する。
- 論文の図を再現し、 poster と sticker の敵対的停止標識の両方で検出器を検証する。
- 画像解像度、クロップ、ボックス局在化に関して検出性能を分析する。
- 検出器アーキテクチャ(グリッドベース vs 提案ベース)が敵対的パターンに対する堅牢性に与える影響を論じる。
実験結果
リサーチクエスチョン
- RQ1標準的な検出器(YOLOとFaster R-CNN)は、静止状態および走行中の条件下で、物理的な敵対的停止標識を誤分類したり検出できなかったりするのか。
- RQ2分類器に焦点を当てた攻撃で観察された敵対的効果は、検出器のボックス局在化と複数ボックスのサンプリングを考慮すると保持されるのか。
- RQ3検出器のパイプラインにおけるクロッピング、スケーリング、ボックス局在化は、敵対的パターンの堅牢性にどのような影響を与えるのか。
- RQ4分類器を対象とした敵対的研究と検出器の性能との間の不一致を説明する要因は何か。
主な発見
- YOLO は、標準と高解像度の両方のビデオで、敵対的停止標識(poster および sticker)を実際の停止標識とほぼ同等の精度で検出する。
- Faster RCNN は、敵対的停止標識(poster および sticker)を実際の停止標識とほぼ同等の精度で検出し、一般的には YOLO よりも正確である。
- 小さなまたは遠い標識では検出器が YOLO より優れている傾向がある。高解像度のビデオは両方の検出器の検出性能を向上させる。
- 一部の分類器攻撃で使用される境界ボックスへのクロッピングは、スケールと傾きの効果を除去するため、それらの結果は現代の検出器を代表していない。
- 現代の検出器の不完全なボックス局在化は、敵対的パターンを乱し、検出器に対する攻撃の有効性を低下さしうる。
- 現時点で、スケール、視角、ボックスシフト、照明といった広範なパラメトリック歪みに跨って、物理的敵対パターンが検出器を欺くという証拠はない。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。