Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] DPatch: An Adversarial Patch Attack on Object Detectors

Xin Liu, Huanrui Yang|arXiv (Cornell University)|2018. 06. 05.
Adversarial Robustness in Machine Learning참고 문헌 18인용 수 150
한 줄 요약

DPatch는 작은 적대적 패치를 학습하여 Faster R-CNN과 YOLO에서 바운딩 박스 회귀와 객체 분류를 동시에 방해하는 것으로, 검은 상자(블랙박스) 설정에서 비타깃 또는 타깃 공격이 가능하고 탐지기 및 데이터셋 간에 높은 전이성을 보입니다.

ABSTRACT

Object detectors have emerged as an indispensable module in modern computer vision systems. In this work, we propose DPatch -- a black-box adversarial-patch-based attack towards mainstream object detectors (i.e. Faster R-CNN and YOLO). Unlike the original adversarial patch that only manipulates image-level classifier, our DPatch simultaneously attacks the bounding box regression and object classification so as to disable their predictions. Compared to prior works, DPatch has several appealing properties: (1) DPatch can perform both untargeted and targeted effective attacks, degrading the mAP of Faster R-CNN and YOLO from 75.10% and 65.7% down to below 1%, respectively. (2) DPatch is small in size and its attacking effect is location-independent, making it very practical to implement real-world attacks. (3) DPatch demonstrates great transferability among different detectors as well as training datasets. For example, DPatch that is trained on Faster R-CNN can effectively attack YOLO, and vice versa. Extensive evaluations imply that DPatch can perform effective attacks under black-box setup, i.e., even without the knowledge of the attacked network's architectures and parameters. Successful realization of DPatch also illustrates the intrinsic vulnerability of the modern detector architectures to such patch-based adversarial attacks.

연구 동기 및 목표

  • 패치 기반 적대적 공격에 대한 취약점을 조사함으로써 견고한 객체 탐지기의 연구를 촉진한다.
  • 주류 탐지기에서 위치 추정과 분류를 모두 방해할 수 있는 실용적이고 작게 제작된 적대적 패치를 개발한다.
  • 위치와 크기 불변인 패치를 통해 비타깃 및 타깃 공격 능력을 시연한다.
  • 패치가 두 단계(detector)와 한 단계(detector) 아키텍처 간 및 데이터셋(VOC, COCO) 간에 전이 가능함을 보여준다.
  • 네트워크 아키텍처와 매개변수가 알려지지 않은 블랙박스 조건에서 공격 효과를 평가한다.

제안 방법

  • 탐지기 처리 중 입력 이미지에 배치되는 최적화 가능한 패치인 DPatch를 도입한다.
  • DPatch를 비타깃 손실(탐지기 손실 최대화) 또는 타깃 손실(선정된 타깃 클래스와 바운딩 박스 방향으로 손실 최소화)을 최적화하여 학습한다.
  • 학습 중 이동, 크기 조정, 회전 등의 무작위 변환을 적용하여 물리적 세계 변화에 대한 견고성을 확보한다.
  • 고정 패치 크기(예: 40x40)를 사용하고 훈련 중 고정 위치 대 무작위 위치 배치를 함께 탐구한다.
  • 주 데이터셋으로 Pascal VOC 2007을 사용하여 Faster R-CNN(VGG16/ResNet101) 및 YOLO에서 평가하고, COCO 및 VOC-훈련 탐지기에 대한 전이성 테스트를 수행한다.
  • RoI가 패치 영역에 집중됨을 보여주고, 탐지기가 물체를 정확히 위치시키거나 분류하지 못하는 이유를 설명한다.

실험 결과

연구 질문

  • RQ1Faster R-CNN 및 YOLO와 같은 최신 객체 탐지기에서 작은 적대적 패치가 위치 추정과 분류를 모두 약화시킬 수 있는가?
  • RQ2위치, 크기 및 회전에 강인한 패치를 통해 비타깃 및 타깃 공격을 달성할 수 있는가?
  • RQ3블랙박스 조건에서 서로 다른 탐지기 아키텍처와 데이터셋 간에 DPatch 공격의 전이성은 얼마나 되는가?
  • RQ4패치 크기와 타깃 클래스가 공격 효과에 미치는 영향은 무엇인가?
  • RQ5하나의 데이터셋 또는 탐지기에서의 학습이 다른 데이터셋이나 탐지기에서 성공적인 공격을 가능하게 하는가(데이터셋 및 탐지기 간 전이성)?

주요 결과

  • DPatch는 mAP를 75.10%(ResNet101를 가진 Faster R-CNN) 및 65.7%(YOLO)에서 비타깃 공격에서 1% 미만으로 감소시킬 수 있다.
  • 타깃 패치는 탐지가 패치 영역을 선택한 타깃 클래스로 주로 인식하게 하여 다른 객체 탐지를 사실상 비활성화한다.
  • 패치 크기와 타깃 클래스가 효과에 영향을 미친다; 일반적으로 큰 패치일수록 공격이 더 강하고 일부 타깃 클래스(tv, cow 등)가 다른 클래스보다 mAP 감소를 강하게 유발한다.
  • 블랙박스 설정에서도 공격이 효과적이며 전이 가능성을 보인다: YOLO에서 학습된 패치는 Faster R-CNN을 속일 수 있고 그 반대도 가능하며, COCO에서 학습된 패치도 VOC-훈련 탐지기에 전이된다.
  • 패치 위치는 2단계 및 1단계 탐지기에서 크게 중요하지 않다. 왜냐하면 제안이 이미지 전반에 걸쳐 스캔되어 패치가 RoI를 지배하게 만들기 때문이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.