[논문 리뷰] Attacking Object Detectors via Imperceptible Patches on Background.
이 논문은 배경 영역에 눈에 띄지 않는 적대적 패치를 생성하는 새로운 공격 방법을 제안한다. 이는 단일 스풍경 물체 검출기(SSD)의 성능을 심각하게 떨어뜨리는 데, 백본 네트워크의 큰 수신장( receptive field)을 활용한다. 오직 몇몇 배경 패치만을 변형시켜 MS COCO 2014에서 13개의 최신 기술 기반 검출기에서 진짜 양성률을 크게 감소시키고 가짜 양성률을 증가시키며, 이는 높은 전이 가능성과 은밀함을 보여준다.
Recent works succeeded to generate adversarial perturbations on the entire image or the object of interests to corrupt CNN based object detectors. In this paper, we focus on exploring the vulnerability of the Single Shot Module (SSM) commonly used in recent object detectors, by adding small perturbations to patches in the background outside the object. The SSM is referred to the Region Proposal Network used in a two-stage object detector or the single-stage object detector itself. The SSM is typically a fully convolutional neural network which generates output in a single forward pass. Due to the excessive convolutions used in SSM, the actual receptive field is larger than the object itself. As such, we propose a novel method to corrupt object detectors by generating imperceptible patches only in the background. Our method can find a few background patches for perturbation, which can effectively decrease true positives and dramatically increase false positives. Efficacy is demonstrated on 5 two-stage object detectors and 8 single-stage object detectors on the MS COCO 2014 dataset. Results indicate that perturbations with small distortions outside the bounding box of object region can still severely damage the detection performance.
연구 동기 및 목표
- 객체의 경계 상자 외부에 적용된 적대적 흐트러짐에 대해 단일 스풍경 모듈(SSM) 기반 물체 검출기의 취약성을 조사하는 것.
- 객체 영역을 직접 수정하지 않더라도, 배경에 소규모로 눈에 띄지 않는 패치가 검출 성능을 상당히 떨어뜨릴 수 있는지 탐구하는 것.
- 최소한의 배경 패치를 식별하여 검출기의 성능 저하를 극대화하면서도 시각적으로 눈에 띄지 않게 하는 방법을 개발하는 것.
- 다양한 이단계 및 단일 단계 물체 검출기 간에 공격의 전이 가능성과 강건성 평가하기
제안 방법
- SSM은 이중 단계 검출기의 영역 제안 네트워크와 단일 단계 검출기를 모두 포함하며, 완전 컨볼루션 구조와 큰 유효 수신장 덕분에 공격 대상이 된다.
- 객체의 경계 상자 외부의 배경 영역에만 소규모로 눈에 띄지 않는 적대적 패치를 생성하기 위한 최적화 과정을 수립한다.
- 공격는 SSM의 수신장이 객체 영역을 초월해 확장된다는 사실을 활용하여, 배경의 흐트러짐이 특징 맵과 검출 헤드 예측에 영향을 줄 수 있도록 한다.
- 시각적 왜곡을 최소화하는(예: LPIPS 또는 유사한 지표 사용) 동시에 진짜 양성률의 감소와 가짜 양성률의 증가를 극대화하는 최적화를 수행한다.
- 패치를 한 모델에서 학습한 후 재학습 없이도 다른 모델에 효과적으로 적용할 수 있도록 전이 가능하도록 설계된다.
- 기울기 기반 최적화 전략을 사용하여 검출 신뢰도와 정렬 정확도에 대한 공격 영향을 극대화하는 패치를 생성한다.
실험 결과
연구 질문
- RQ1배경에 적용된 적대적 패치가 SSM 기반 물체 검출기의 성능을 심각하게 떨어뜨릴 수 있는가?
- RQ2SSM의 큰 수신장이 배경 패치가 물체 검출 결과에 영향을 주는 데 얼마나 기여하는가?
- RQ3이러한 배경 기반 적대적 패치는 다양한 이단계 및 단일 단계 물체 검출기 간에 얼마나 전이 가능한가?
- RQ4객체 영역 외부의 최소한이면서 눈에 띄지 않는 흐트러짐으로도 공격가 성공률를 높일 수 있는가?
- RQ5이러한 배경 흐트러짐이 진짜 양성률 및 가짜 양성률과 같은 핵심 지표에 미치는 영향은 어떠한가?
주요 결과
- 제안된 공격는 MS COCO 2014 데이터셋에서 13개의 최신 기술 기반 물체 검출기의 평균 정밀도(AP)를 오직 배경 패치만으로도 성공적으로 감소시켰다.
- 소규모로 눈에 띄지 않는 흐트러짐으로도 진짜 양성률은 심각하게 감소하고 가짜 양성률은 급격히 증가시켰다.
- 공격는 강력한 전이 가능성을 보였으며, 패치 생성 시에 볼 수 없었던 검출기들 역시 효과적으로 악영향을 주었다.
- 흐트러짐이 배경에 국한되어 있음에도 불구하고 성능 저하가 발생했으며, 이는 SSM이 장거리 특징 간섭에 취약하다는 것을 시사한다.
- 시각적 눈에 띄지 않음 수준을 유지했으며, 인지적 유사도 지표로 측정된 결과, 인간 눈으로는 패치를 식별하기 어려웠다.
- 다양한 아키텍처에서 일관된 효과를 보였으며, 이는 SSM 설계에 내재된 근본적인 취약성을 시사한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.