[論文レビュー] Transferable Adversarial Attacks for Image and Video Object Detection
本稿では、画像および動画のオブジェクト検出に対して、効率的に転送可能な adversarial examples を生成する GAN ベースの生成手法である Unified and Efficient Adversary (UEA) を提案する。共有バックボーン特徴量上で高レベル分類損失と低レベルのマルチスケールアテンション特徴損失を同時に最適化することで、UEA は最適化ベースの手法と比較して 1000× 以上高速な生成を達成し、Faster R-CNN などのプロポーザルベースの(例:Faster R-CNN)および SSD などの回帰ベースの(例:SSD)検出器を効果的に攻撃する。
Adversarial examples have been demonstrated to threaten many computer vision tasks including object detection. However, the existing attacking methods for object detection have two limitations: poor transferability, which denotes that the generated adversarial examples have low success rate to attack other kinds of detection methods, and high computation cost, which means that they need more time to generate an adversarial image, and therefore are difficult to deal with the video data. To address these issues, we utilize a generative mechanism to obtain the adversarial image and video. In this way, the processing time is reduced. To enhance the transferability, we destroy the feature maps extracted from the feature network, which usually constitutes the basis of object detectors. The proposed method is based on the Generative Adversarial Network (GAN) framework, where we combine the high-level class loss and low-level feature loss to jointly train the adversarial example generator. A series of experiments conducted on PASCAL VOC and ImageNet VID datasets show that our method can efficiently generate image and video adversarial examples, and more importantly, these adversarial examples have better transferability, and thus, are able to simultaneously attack two kinds of representative object detection models: proposal based models like Faster-RCNN, and regression based models like SSD.
研究の動機と目的
- 動画オブジェクト検出のための従来の adversarial attack 手法が、各フレームごとに反復的最適化を必要とすることによる高い計算コストを低減すること。
- 現在の攻撃手法が、プロポーザルベースの検出器から回帰ベースの検出器への転送性が弱く、しばしば失敗することを克服すること。
- 多様なオブジェクト検出アーキテクチャに適用可能な統合的で効率的かつ転送性の高い攻撃フレームワークを構築すること。
- 生成時間の著しい短縮により、動画データに対する実用的なブラックボックス攻撃を可能にすること。同時に、高い攻撃成功率を維持すること。
提案手法
- UEA は、生成モデルとしての GAN フレームワーク内に adversarial example 生成を定式化し、 adversarial 画像および動画フレームを生成するためのジェネレータネットワークを訓練する。
- ジェネレータは、GAN 損失に加え、最終のソフトマックス層での高レベル分類損失と、バックボーンネットワークの中間層からの特徴マップを対象とする、新規の低レベルマルチスケールアテンション特徴損失を組み合わせて訓練される。
- アテンション機構により、特徴部分領域の重み付けがなされ、前景オブジェクト領域に摂動が集中することで、人間の知覚に与える影響を低減し、攻撃効率を向上させる。
- 検出器間で共有される特徴表現(例:Faster R-CNN や SSD における VGG16)を活用することで、両検出パラダイムに共通する特徴を操作し、転送性を実現する。
- 推論時においては、ジェネレータの順方向伝搬のみが必要であり、ほぼ即時の生成が可能である(DAG などの反復的手法と比較して 1000× 以上高速)。
- 本手法は、PASCAL VOC における画像データおよび ImageNet VID における動画データに適用可能であり、多様な検出器アーキテクチャ上でエンドツーエンドの訓練および評価が行われた。
実験結果
リサーチクエスチョン
- RQ1反復的最適化手法と比較して、著しく計算コストを低減できる生成的 adversarial フレームワークを、オブジェクト検出のための adversarial example 生成に用いることができるか?
- RQ2共有バックボーンネットワークの低レベル特徴マップを操作することで、異なる検出アーキテクチャ間での転送性が向上するか?
- RQ31 つの adversarial example が、Faster R-CNN(プロポーザルベース)および SSD300(回帰ベース)の両方のオブジェクト検出器を同時に効果的に攻撃できるか?
- RQ4フレーム単位の攻撃生成が従来の手法では計算的に不可能な動画オブジェクト検出において、本手法はどのように性能を発揮するか?
- RQ5アテンション重み付き特徴損失の使用が、知覚的不可検知性および攻撃成功率にどの程度向上効果をもたらすか?
主な発見
- UEA は、最先端の反復的手法 DAG と比較して、adversarial example 生成時間を 1000× 以上短縮し、ImageNet VID において 1 動画あたりわずか 0.3 秒の処理時間で実現した。
- UEA は、動画検出モデルに対して Faster R-CNN で 0.40 mAP の低下、SSD300 で 0.44 mAP の低下を達成し、動画データにおける強力な攻撃性能を示した。
- 本手法は、同一の adversarial example を用いて、Faster R-CNN(プロポーザルベース)および SSD300(回帰ベース)の両検出器を同時に効果的に欺くことに成功し、高い転送性を確認した。
- 定性的な結果から、UEA が生成した adversarial examples は、両検出器に完全な失敗(検出なしまたは誤った予測)を引き起こしている一方で、元の画像は正確に検出されていることが示された。
- 特徴可視化により、UEA がバックボーンネットワークの中間特徴マップを効果的に操作しており、検出パイプラインの根本的段階で破壊していることが確認された。
- アブレーションスタディにより、マルチスケールアテンション特徴損失の重要性が裏付けられ、これを除去すると両検出器タイプにおいて攻撃成功率が著しく低下することが分かった。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。