Adversarial Examples for Semantic Segmentation and Object Detection

Adversarial Attacks ICCV DeepLearning

ICCV2017採択論文"Adversarial Examples for Semantic Segmentation and Object Detection"のレビュー.

元論文はこちら

分類タスクにおいて,ニューラルネットワークの誤分類を誘発する攻撃手法であるAdversarial AttacksがSemantic SegmentationおよびObject Detectionタスクでも有効であることを示した論文.

Abstract

一般的にはClassificationタスクに対して適用されるAdversarial ExamplesをSemantic SegmentationとObject Detectionタスクに対して適用した研究.

著者らの観測から,Semantic SegmentationとObject Detectionは画像内の複数ターゲットのClassificationタスクの組み合わせから成り立っていることから,損失関数の適切な最適化によってAdversarial Examplesを生成できることを示している.これに基づき,著者らはsegmentationとdetectionに適用可能な攻撃方法であるDense Adversary Generation (DAG)を提案.

さらに,提案手法で生成したAdversarial Examplesは異なるアーキテクチャ,学習データセットおよび異なるタスクの間で使いまわせる.

f:id:noconocolib:20190126234153p:plain
An adversarial example for semantic segmentation and object detection

Dense Adversary Generation

提案手法であるDense Adversary Generation (DAG)は,入力画像とターゲットが与えられたとき,できるだけ多くのターゲットのご認識を誘発するようなAdversarial Examplesを生成する.

目的としては,ある特定のタスクについて,ネットワークの予測のすべてを間違わせるようなadversarial exampleを生成すること.

L(X, T, L, L') = \sum^N_{n=1} [f_{l_n}(X, t_n) - f_{l'_n}(X, t_n)]

Lを最小化したとき,すべてのターゲットについて間違った予測を誘発することができる.

提案手法では,最適化に勾配降下法を利用している.

各ステップで勾配を計算して摂動を累積していく.

r_m = \sum_{t_n \in T_m} [\nabla x_m f_{l\'_n} (X_m, t_n) - \nabla x_m f_{l_n} (X_m, t_n)]

最終的なAdversarial Examplesは r = \sum_m r'_m

Experimental Results

  • 一つのAdversarial Exampleで複数のネットワーク,複数のタスクで誤認識を誘発することに成功している

f:id:noconocolib:20190126234508p:plain
Adding the fused adversarial perturbation confuses four different networks. The top row shows FR-VGG-07 and FR-ZF-07 detection results, and the bottom row shows FCN-Alex and FCN-VGG segmentation results. The blue in segmentation results corresponds to boat.