Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Robust Adversarial Perturbation on Deep Proposal-based Models

Yuezun Li, Daniel Tian|arXiv (Cornell University)|2018. 09. 16.
Adversarial Robustness in Machine Learning참고 문헌 22인용 수 65
한 줄 요약

이 논문은 Robust Adversarial Perturbation(R-AP)을 도입하여 딥 제안 기반 객체 탐지기 및 인스턴스 세그먼트 모델에서 지역 제안 네트워크(RPN)를 보편적으로 공격하고, 라벨 예측과 형태 회귀를 모두 겨냥하여 블랙박스 설정에서 성능 저하를 유도합니다.

ABSTRACT

Adversarial noises are useful tools to probe the weakness of deep learning based computer vision algorithms. In this paper, we describe a robust adversarial perturbation (R-AP) method to attack deep proposal-based object detectors and instance segmentation algorithms. Our method focuses on attacking the common component in these algorithms, namely Region Proposal Network (RPN), to universally degrade their performance in a black-box fashion. To do so, we design a loss function that combines a label loss and a novel shape loss, and optimize it with respect to image using a gradient based iterative algorithm. Evaluations are performed on the MS COCO 2014 dataset for the adversarial attacking of 6 state-of-the-art object detectors and 2 instance segmentation algorithms. Experimental results demonstrate the efficacy of the proposed method.

연구 동기 및 목표

  • 딥 제안 기반 모델은 물체 탐지 및 인스턴스 분할에 사용되는 적대적 취약성 연구를 동기화한다.
  • 전체 모델 접근 없이 RPN에 중점을 둔 보편적 공격을 제안한다.
  • 라벨 파괴와 형태 회귀 교란을 결합한 새로운 손실을 도입하여 RPN 성능을 악화시킨다.
  • MS COCO 2014에서 여섯 개 탐지기와 두 가지 인스턴스 세그먼트 방법에 대해 R-AP의 효과를 입증한다.
  • 안전에 민감한 CV 응용에서의 강건성에 대한 함의를 강조한다.

제안 방법

  • 입력 이미지에 대한 적대적 교란을 생성하기 위해 L = Llabel + Lshape 를 정의하되 PSNR을 임계값 이상으로 유지한다.
  • Llabel은 양성 제안의 확신도이 감소시키며 양성 제안의 확률을 방해한다(zj log(sj)).
  • Lshape은 예측된 오프셋을 큰 미리 설정된 타깃(τx, τy, τw, τh)으로 향하게 하여 RPN의 형태 회귀를 교란한다.
  • 다항 스케일된 정규화 기울기 보폭 pt로 L를 최소화하도록 이미지를 반복적으로 업데이트하며, 유효 픽셀 범위로 자르고 PSNR ε를 강제한다.
  • 여러 RPN 구조에서의 교란을 결합하여 블랙박스 강건성을 강화한다 (P = α · ∑_{i=1}^5 p_i).
  • MS COCO 2014에서 여섯 가지 탐지기와 두 가지 인스턴스 세그먼트 방법에 대해 실험적으로 평가하여 저하를 보인다.

실험 결과

연구 질문

  • RQ1모델별 접근 없이 RPN을 겨냥한 보편적 교란이 광범위한 딥 제안 기반 탐지기 및 세그먼터를 저하시킬 수 있는가?
  • RQ2라벨 파괴와 형태 회귀 교란을 결합하는 것이 라벨만 겨냥하는 것보다 더 강력한 저하를 유도하는가?
  • RQ3R-AP는 다양한 RPN 백본 및 블랙박스 설정에서 어떻게 성능을 보이는가?

주요 결과

  • R-AP는 RPN 백본에 맞춘 교란이 있을 때 여러 최첨단 탐지기의 성능 저하를 유의하게 유도한다(예: Fcns 탐지기의 mAP 0.5/0.7에서 큰 하락).
  • 다중 RPN 교란의 누적 P는 블랙박스 조건에서도 주목할 만한 저하를 달성한다(RFCN 및 기타 탐지기에서).
  • 랜덤 가우시안 노이즈와 비교할 때 PSNR이 달라질 때 R-AP의 성능 하락 폭이 더 큼.
  • FCIS 및 Mask R-CNN으로 인스턴스 세그먼트에서도 공격 효과가 입증되었으며, 0.5 및 0.7에서 의미 있는 mAP 감소가 관찰됨.
  • 연구는 RPN이 딥 제안 기반 모델의 보편적 취약점 포인트임을 확인하여 탐지 및 세그먼테이션 파이프라인에 영향을 준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.