Skip to main content
QUICK REVIEW

[논문 리뷰] AdvHaze: Adversarial Haze Attack

Ruijun Gao, Qing Guo|arXiv (Cornell University)|2021. 04. 28.
Adversarial Robustness in Machine Learning참고 문헌 27인용 수 25
한 줄 요약

AdvHaze는 대기 산란을 통해 적대적 안개를 합성하여 DNN 이미지 분류기를 오도하고, 노이즈 기반 기준선과 비교했을 때 경쟁력 있는 성공 및 전이성을 보여주면서 영상 품질을 유지합니다.

ABSTRACT

In recent years, adversarial attacks have drawn more attention for their value on evaluating and improving the robustness of machine learning models, especially, neural network models. However, previous attack methods have mainly focused on applying some $l^p$ norm-bounded noise perturbations. In this paper, we instead introduce a novel adversarial attack method based on haze, which is a common phenomenon in real-world scenery. Our method can synthesize potentially adversarial haze into an image based on the atmospheric scattering model with high realisticity and mislead classifiers to predict an incorrect class. We launch experiments on two popular datasets, i.e., ImageNet and NIPS~2017. We demonstrate that the proposed method achieves a high success rate, and holds better transferability across different classification models than the baselines. We also visualize the correlation matrices, which inspire us to jointly apply different perturbations to improve the success rate of the attack. We hope this work can boost the development of non-noise-based adversarial attacks and help evaluate and improve the robustness of DNNs.

연구 동기 및 목표

  • 실제 세계의 흐릿한 현상을 활용하여 비노이즈 기반의 적대적 공격을 동기화한다.
  • 실제적인 흐릿한 시각 효과를 보존하면서 이미지 분류기를 속일 수 있는 안개 기반 공격 모델을 개발한다.
  • 대규모 데이터셋에서 강력한 baselines와 제안된 공격을 평가하고 전이성 및 영상 품질을 평가한다.
  • 비노이즈 기반 공격과 노이즈 기반 공격 간의 상관 분석을 통해 관계를 탐구한다.

제안 방법

  • 대기 산란 방정식 H(x)=I(x)t(x)+A(x)(1−t(x))와 t(x)=exp(−β(x)d(x))를 이용해 안개 합성을 모델링한다.
  • 대기 빛 A와 산란 β를 최적화하여 분류 손실 J를 L∞-노름 교란 제약 하에서 최대화하는 방식으로 적대적 안개를 도입한다.
  • 두 가지 변형을 제안한다: 이미지 전반에 걸쳐 A와 β가 일정한 Homogeneous AdvHaze(HAdvHaze)와 A와 β를 공간적으로 변화시키되 저역통과 필터로 스무딩한 Inhomogeneous AdvHaze(IAdvHaze).
  • 깊이 추정 D(I) (MiDaS)를 사용해 깊이 d를 계산하고 haze_D(I,A,β)을 통해 흐릿한 이미지를 렌더링한다.
  • 최적화를 위해 MI-FGSM 스타일의 그래디언트 내리기(부호 업데이트, 반복 n=10, μ=1.0)를 사용하고 A0=0.9, β0=0.1, 스텝 크기 0.01을 적용한다.
  • ImageNet과 NIPS 2017에서 baselines(FGSM, I-FGSM, MI-FGSM, TI-MI-FGSM, cAdv)와 비교하며 성공 비율 및 NIQE 영상 품질 지표를 평가한다.

실험 결과

연구 질문

  • RQ1대기 산란을 통해 합성된 적대적 안개가 다수의 DNN 아키텍처에서 잘못 분류를 일으키는가?
  • RQ2불균질 안개 교란이 균질 안개나 전통적인 노이즈 기반 공격보다 전이성 측면에서 더 나은가?
  • RQ3안개 기반 공격은 노이즈 기반 공격에 비해 인지적 영상 품질에 어떤 차이가 있으며 시각적으로 자연스러운가?
  • RQ4비노이즈 기반 공격과 노이즈 기반 공격 간의 중첩 성공 이미지 측면에서 관계는 어떠한가(상관 분석)?

주요 결과

  • IAdvHaze는 대부분의 대상 모델에서 ImageNet 및 NIPS 2017에 대해 매우 높은 화이트박스 성공률을 달성하며 HAdvHaze보다 우수하고 노이즈 기반 기준선과 비교해도 경쟁력을 유지한다.
  • IAdvHaze는 다른 모델로의 전이성 면에서 여러 기준선보다 비교적 더 좋거나 더 나은 성능을 보이며 특히 NIPS 2017 데이터셋에서 두드러진다.
  • HAdvHaze는 매개변수화가 제한되어 일반적으로 성능이 저조한 반면 IAdvHaze는 NIQE 점수로 나타난 시각적 품질이 동등하거나 더 우수한 경우가 많다.
  • NIQE 기반 평가에서 제안된 IAdvHaze가 FGSM 및 MI-FGSM과 같은 노이즈 위주 공격보다 시각적 품질이 더 나은 경우가 많으며, TI-MI-FGSM이 일부 영역의 노이즈를 도입하는 예외가 있다.
  • 상관 분석은 비노이즈 기반 공격(cAdv, HAdvHaze, IAdvHaze)이 노이즈 기반 공격과 다른 이미지 부분 집합을 커버함을 시사하여 두 perturbation 유형을 결합하는 이점이 있을 수 있음을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.