Adversarial Examples for Semantic Segmentation and Object Detection
(语义分割和目标检测中的对抗样本)
作者:Cihang Xie, Jianyu Wang, Zhishuai Zhang, Yuyin Zhou, Lingxi Xie, Alan Yuille, Department of Computer Science, The Johns Hopkins University, Baltimore, MD 21218 USA Baidu Research USA, Sunnyvale, CA 94089 USA
摘要:对抗样本:给自然图片加入视觉不可见的噪声,可能导致深层网络无法对图像进行正确分类。
如上样本x的label为熊猫,在对x添加部分干扰后,在人眼中仍然分为熊猫,但对深度模型,却将其错分为长臂猿,且给出了高达99.3%的置信度。
在本文中,我们将对抗样本扩展到语义分割和目标检测中,这是比较困难的。分割和检测都是建立在对图像目标分类的基础上,比如分割是对目标区域或者像素进行分类,目标检测是对目标proposal分类。思考是否能在一组像素/proposal的基础上优化损失函数,以产生对抗性扰动。在此基础上,提出了一种新的算法密度对抗生成网络 (DAG),它产生了大量的对抗样本,并应用于最先进的分割和检测深度网络上。实验发现,对抗性扰动可以在具有不同训练数据、不同架构、甚至不同识别任务的网络之间传递的特性(对抗例子是相对鲁棒的, 即神经网络A生成的对抗样本,在神经网路B下仍然是,即使B是不同的网络结构、超参、和训练数据。因此,神经网络含有一些内在的盲点和非显示的特征,其结构与数据分布相关。
)。具有相同结构的网络的可移植性更强大。对非均匀扰动进行累加(???),往往能获得更好的传输性能,为黑盒对抗攻击提供了一种有效的方法。
介绍:深度网络在视觉识别和特征表示方面取得了成功,但它们往往对输入图像的微小扰动非常敏感。添加视觉上不可感知的扰动会导致图像分类失败。这些被扰动的图像,通常被称为对抗样本,被认为是落在大的高维特征空间的一些区域,而这些区域在训练过程中没有被探索。因此,研究这一问题不仅有助于理解深层网络的工作机制,而且为提高网络训练的鲁棒性提供了机会。
本文进一步生成了用于语义分割和目标检测的对抗样本,并展示了它们的可移植性。据我们所知,这个以前没有系统地研究过(在一个大数据集上)。这个问题很难,因为需要考虑更多目标(例如像素或proposal)的数量级。
基于每个目标都需要经历一个单独的分类的过程,作者提出了DAG。DAG是一种同时考虑所有目标并优化整体损失函数的算法。它的实现很简单,只需要为每个目标指定一个对抗性标签,并执行迭代梯度反向传播。
在检测中产生对抗样本比在分割中更困难,因为在目标检测中,目标的数量要大几个数量级。对于有k个像素的图像,可能的proposal数量是O(k^2),而像素只有O(k)。如果只考虑proposal的一个子集,在提取出一组新的proposal后,扰动图像仍然可以被正确识别。为了增加攻击的鲁棒性,在优化中改变IOU率来保护一个在持续增加的合理的proposal数量。在实验中验证了当原始图像上的proposal足够密集时,扰动图像上产生的新proposal很可能也会产生错误的识别结果。
随着网络,数据,任务的差异增大,DAG产生的扰动在一定程度上的传递难度增大,但DAG产生的扰动在一定程度上能够传递。有趣的是,加入两个或更多的异质性扰动可以显著提高可移植性,为一些未知结构和/或属性的网络实施黑盒对抗攻击[26]提供了一种有效的方法。
本文算法:
1. DAG。
2. 为检测选择输入proposal。
3. 评估。