[논문 리뷰] Object Hider: Adversarial Patch Attack Against Object Detectors
이 논문은 객체 검출 모델을 공격하기 위해 열매기 기반 및 공명 기반의 두 가지 새로운 적대적 패치 생성 방법을 제안한다. 기울기 시각화와 다중 모델 투표를 활용하여 희박하고 전이 가능한 패치를 생성함으로써 최신 검출기에서 객체를 효과적으로 숨기며, 알리바바 AIC 경연 대회에서 3000점 이상을 기록하여 높은 효과성과 일반화 능력을 입증한다.
Deep neural networks have been widely used in many computer vision tasks. However, it is proved that they are susceptible to small, imperceptible perturbations added to the input. Inputs with elaborately designed perturbations that can fool deep learning models are called adversarial examples, and they have drawn great concerns about the safety of deep neural networks. Object detection algorithms are designed to locate and classify objects in images or videos and they are the core of many computer vision tasks, which have great research value and wide applications. In this paper, we focus on adversarial attack on some state-of-the-art object detection models. As a practical alternative, we use adversarial patches for the attack. Two adversarial patch generation algorithms have been proposed: the heatmap-based algorithm and the consensus-based algorithm. The experiment results have shown that the proposed methods are highly effective, transferable and generic. Additionally, we have applied the proposed methods to competition "Adversarial Challenge on Object Detection" that is organized by Alibaba on the Tianchi platform and won top 7 in 1701 teams. Code is available at: https://github.com/FenHua/DetDak
연구 동기 및 목표
- 최신 객체 검출 모델이 적대적 패치 공격에 얼마나 취약한지 조사하기 위해.
- 실용적이고 전이 가능한 적대적 패치를 개발하여 검출에서 객체를 숨기기 위해.
- 기울기 기반의 색소 시각화를 향상시켜 Grad-CAM을 다중 객체 및 척도 민감한 상황으로 확장하기 위해.
- 다양한 모델 간 공명 기반 투표 전략을 통해 패치 정렬 및 공격 전이성을 향상시키기 위해.
- 실세계 벤치마크, 예를 들어 알리바바의 적대적 도전 대회에서의 높은 공격 성능를 달성하기 위해.
제안 방법
- 중간 합성곱 레이어에서 기울기 가중 클래스 활성화 맵을 계산하여 객체 검출에 대해 Grad-CAM을 적응시켰으며, 기울기와 특징 맵의 원소별 곱셈을 통해 공간 정보를 유지한다.
- 다중 객체 및 다양한 척도를 처리하기 위해 정규화 및 집계 전략을 도입하여 다양한 입력 이미지에서 강건한 열매기 생성을 보장한다.
- 다양한 타깃 모델을 동시에 공격하고 투표를 통해 영향력 있는 패치 위치를 식별하는 공명 기반 패치 선택 방법을 제안하였다.
- 선택된 영역에 대해 빠른 기울기 부호 방법(FGSM)을 적용하여 적대적 패치를 생성하였으며, 최대 모델 오분류를 위한 반복 최적화를 수행하였다.
- 패치 마스크에 이진 격자 행렬을 적용하여 격자 기반의 희박화를 구현함으로써 픽셀 수를 감소시키면서도 공격 효율성을 유지하였다.
- 성능과 전이성을 향상시키기 위해 다양한 패치 척도(20, 50, 70)와 격자 비율(0.5, 0.6, 0.7)을 조합한 앙상블 전략을 사용하였다.
실험 결과
연구 질문
- RQ1기울기 기반 색소 맵이 다중 객체 객체 검출 모델에 효과적으로 적응되어 적대적 패치 배치를 안내할 수 있는가?
- RQ2단일 모델 지시 대비 다수 모델 간 공명 기반 패치 선택 전략이 공격 전이성에 어떻게 기여하는가?
- RQ3희박하고 격자 기반의 적대적 패치는 최소한의 픽셀 변형으로 얼마나 높은 공격 성공률를 달성할 수 있는가?
- RQ4제안된 방법은 알리바바 AIC 경연 대회와 같은 실세계 벤치마크에서 얼마나 효과적인가?
- RQ5척도 및 희박성 앙상블을 조합함으로써 공격 성능와 강건성에 어떤 영향을 미치는가?
주요 결과
- 공명 기반 방법이 열매기 기반 방법보다 우수하여, 앙상블 기반 2713점 대비 3071점의 점수를 기록하여 더 높은 전이성과 정렬 능력을 입증하였다.
- 격자 기반 패치와 척도 앙상블를 적용한 결과, 알리바바 AIC 경연 대회에서 3000점 이상을 기록하여 총 1701개 팀 중 상위 7위에 진입하였다.
- 열매기 기반 방법은 다중 객체 및 척도 간 정규화 및 집계를 통해 객체 검출에 적응되었으며, 효과적인 색소 시각화를 가능하게 하였다.
- 격자 기반의 희박화 전략은 공격 성공률를 유지하면서도 훨씬 적은 수의 변형 픽셀을 사용하여 효율성과 실용성을 입증하였다.
- 공명 기반 접근법은 다수의 모델 결과를 조합함으로써 단일 모델 방법보다 더 강건하고 전이 가능한 패치를 생성하였다.
- 제안된 방법은 화이트박스(YOLOv4, Faster R-CNN) 및_BLK 박스 검출 모델 모두에 일반화 가능하고 효과적이었으며, 강력한 전이성의 가능성을 확인하였다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.