Skip to main content
QUICK REVIEW

[논문 리뷰] Pasadena: Perceptually Aware and Stealthy Adversarial Denoise Attack

Yupeng Cheng, Qing Guo|arXiv (Cornell University)|2020. 07. 14.
Adversarial Robustness in Machine Learning참고 문헌 76인용 수 18
한 줄 요약

이 논문은 이미지 디노이징 파이프라인 내부에 속임성 있는 오염 노이즈를 임베딩하여 동시에 이미지 품질을 향상시키고 딥 네트워크(DNN)를 오도하는 새로운 적대적 디노이징 공격인 Pasadena을 제안한다. 공격을 적대적-디노이징 커널 예측 문제로 공식화하고, 인지적으로 민감한 영역 국소화를 활용함으로써, 다양한 노이즈 유형과 모델에서 공격 성공률(최대 84.8%)과 이미지 품질(최대 0.054의 SSIM 향상) 향상 모두를 달성한다.

ABSTRACT

Image denoising can remove natural noise that widely exists in images captured by multimedia devices due to low-quality imaging sensors, unstable image transmission processes, or low light conditions. Recent works also find that image denoising benefits the high-level vision tasks, e.g., image classification. In this work, we try to challenge this common sense and explore a totally new problem, i.e., whether the image denoising can be given the capability of fooling the state-of-the-art deep neural networks (DNNs) while enhancing the image quality. To this end, we initiate the very first attempt to study this problem from the perspective of adversarial attack and propose the adversarial denoise attack. More specifically, our main contributions are three-fold: First, we identify a new task that stealthily embeds attacks inside the image denoising module widely deployed in multimedia devices as an image post-processing operation to simultaneously enhance the visual image quality and fool DNNs. Second, we formulate this new task as a kernel prediction problem for image filtering and propose the adversarial-denoising kernel prediction that can produce adversarial-noiseless kernels for effective denoising and adversarial attacking simultaneously. Third, we implement an adaptive perceptual region localization to identify semantic-related vulnerability regions with which the attack can be more effective while not doing too much harm to the denoising. We name the proposed method as Pasadena (Perceptually Aware and Stealthy Adversarial DENoise Attack) and validate our method on the NeurIPS'17 adversarial competition dataset, CVPR2021-AIC-VI: unrestricted adversarial attacks on ImageNet,etc. The comprehensive evaluation and analysis demonstrate that our method not only realizes denoising but also achieves a significantly higher success rate and transferability over state-of-the-art attacks.

연구 동기 및 목표

  • 이미지 디노이징이 고수준 비전 작업에 항상 유리하다는 공통된 가정을 도전하기 위해, 디노이저가 DNN을 공격하는 데 악용될 수 있는지 탐색한다.
  • 시각적 품질을 떨어뜨리지 않고 표준 이미지 디노이징 파이프라인에 적대적 공격을 통합하는 방법을 개발한다.
  • 공격 효과를 극대화하면서도 디노이징 성능을 유지하기 위해, 인지적으로 취약한 영역을 식별하고 집중적으로 공격 적용한다.
  • 다양한 DNN 아키텍처와 노이즈 유형 간에 고도로 이식 가능한 적대적 예제를 확보한다.
  • 디노이징이 적대적 공격의 은밀한 수단이 될 수 있음을 입증하여, 동시에 시각적 향상과 모델 회피를 가능하게 한다.

제안 방법

  • 이미지 필터링을 위한 커널 예측 문제로 적대적 디노이징 공격를 공식화함으로써, 동시에 디노이징과 적대적 흐름 생성이 가능하도록 한다.
  • 자연 노이즈를 제거하면서도 눈에 띄지 않는 타겟 적인 적대적 노이즈를 임베딩하는 커널을 생성하기 위해, 적대적-디노이징 커널 예측 기법을 제안한다.
  • 의미적으로 관련성이 있고 취약성이 높은 영역을 집중적으로 공격하기 위해, 적응형 인지적 영역 국소화 기법을 도입한다.
  • 표준 이미지 후처리 파이프라인 내부에 공격를 적용함으로써, 실제 멀티미디어 시스템과의 호환성을 확보한다.
  • 재구성 오차 최소화(디노이징 목적)와 오분류 손실 최대화(적대적 성공 목적)를 동시에 추구하는 이중 최적화 목적함수를 활용한다.
  • 다양한 데이터셋(예: ImageNet, Tiny-ImageNet-C, NeurIPS’17 경쟁 대회 데이터셋)에서 다양한 노이즈 유형과 심각도 수준에서 방법의 유효성을 검증한다.

실험 결과

연구 질문

  • RQ1이미지 디노이징 모듈을 고도로 향상된 이미지 품질과 효과적인 적대적 공격을 동시에 수행하도록 재사용할 수 있는가?
  • RQ2시각적 품질을 떨어뜨리거나 탐지 가능한 흔적을 남기지 않고 디노이징 과정 내부에 적대적 노이즈를 임베딩할 수 있는가?
  • RQ3디노이징과 결합된 상태에서 적대적 흐름에 가장 취약한 이미지 영역는 어디이며, 어떻게 적응적으로 국소화할 수 있는가?
  • RQ4제안된 공격가 다양한 DNN 아키텍처와 노이즈 유형 간에 얼마나 높은 이식성을 유지하는가?
  • RQ5이 방법이 공격 성공률와 SSIM와 같은 이미지 품질 지표에서 측정 가능한 향상을 동시에 달성할 수 있는가?

주요 결과

  • NeurIPS’17 데이터셋에서, Pasadena는 심도 수준 2의 샷 노이즈 하에서 ResNet-101에 대해 74.8%의 공격 성공률를 기록했으며, SSIM는 0.735에서 0.790으로 향상되었다.
  • Tiny-ImageNet-C에서, 심도 수준 1의 샷 노이즈 하에서 ResNet-101에 대해 84.8%의 성공률를 달성했고, SSIM는 0.828에서 0.844로 상승했다.
  • 임펄스 노이즈의 경우, 공격 성공률가 높게 유지되었으며(최대 86.0%), 심도 수준 1에서 SSIM는 0.833에서 0.837로 향상되었다.
  • 이 방법은 다양한 모델(예: EfficientNet 등)에 대해 높은 이식성을 보였으며, 모든 심도 수준에서 약 30%의 성공률를 기록했다.
  • 노이즈 심도가 높을수록 이미지 품질 향상 효과가 두드러졌으며, 일부 사례에서는 SSIM 향상이 0.05를 초과했다.
  • 이 방법은 공격 성공률와 이식성에서 기존 최고 수준의 공격를 뛰어넘으면서도 동시에 이미지 정밀도를 향상시켰다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.