こんにちは、futabatoです。
今回は、Adversarial T-shirt! Evading Person Detectors in A Physical World (Xu, Kaidi, et al., 2020)の論文に目を通したので、論文メモとしてBlogに残しておきます。
Adversarial T-shirt! Evading Person Detectors in A Physical World
論文の概要
- 著者: Xu, Kaidi, et al.
- 年度: 2020
- 論文URL: https://arxiv.org/abs/1910.11099
- 被引用数: 104
- タグ:
Physical,Disappearance Attack,Object Detection
移動する人物の姿勢変化により非剛体変形する可能性がある場合でも、人物検出器を回避できるRobustなAdversarial Exampleとして、Adversarial Tシャツを提案しています。
Adversarial TシャツはREDBUBBLEというオンラインストアで購入することができます。意外に着て外を歩けそうです。
Abstract
It is known that deep neural networks (DNNs) are vulnerable to adversarial attacks. The so-called physical adversarial examples deceive DNN-based decisionmakers by attaching adversarial patches to real objects. However, most of the existing works on physical adversarial attacks focus on static objects such as glass frames, stop signs and images attached to cardboard. In this work, we proposed adversarial T-shirts, a robust physical adversarial example for evading person detectors even if it could undergo non-rigid deformation due to a moving person's pose changes. To the best of our knowledge, this is the first work that models the effect of deformation for designing physical adversarial examples with respect to-rigid objects such as T-shirts. We show that the proposed method achieves74% and 57% attack success rates in the digital and physical worlds respectively against YOLOv2. In contrast, the state-of-the-art physical attack method to fool a person detector only achieves 18% attack success rate. Furthermore, by leveraging min-max optimization, we extend our method to the ensemble attack setting against two object detectors YOLO-v2 and Faster R-CNN simultaneously.
既存研究と比べてどこがすごい?
Tシャツのような非剛体物体に対して変形の影響をモデル化した初めての研究。
Thys, Simen, Wiebe Van Ranst, and Toon Goedemé.)ではTシャツにAdversarial パッチを貼ってかつ人が動いてしまうと効果が無かった。
技術や手法のキモはどこ?
- TPS(Thin Plate Spline)マッピングを用いて人間の体の動きによって生じる布の変形をモデル化している。
Affine変換では対応しきれないらしい。 - 以下の流れに沿ってAdversarial Tシャツを生成する。
最適化手順はbackpropagationを通じた閉ループとして実行される。- 市松模様柄のTシャツを着ている人物を撮影したビデオフレームを学習させる
- 様々な変形を考慮した不変的な摂動をTシャツに適用する
- Person Classに属する最大のBounding Boxの確率を最小化する
- 複数の物体検出器を騙すためのmin-max最適化手法 ensemble攻撃はmin-max最適化の観点から設計することができて、平均を取るアプローチよりもはるかに高いASRをもたらす。
どうやって有効だと検証した?
YOLOv2とFaster R-CNNがターゲット。
提案アルゴリズムの収束挙動とASR(Attack Success Rate)をデジタル世界と物理世界の両方において検証した。
ASR(Attack Success Rate)はテストフレームの総数に対する攻撃に成功したテストフレームの比率で与えられる。
議論はある?
YOLOv2よりFaster R-CNNのほうがややRobustだった。いわゆるsingle detectorはすべての場合において脆弱だったと言っているが、今のYOLOv5やYOLOXのようなアルゴリズムでも同じことが言える?(速さと精度のトレードオフはもうほぼないと思ってるので)
次に読むべき論文は?
- YOLOv2が使われた理由はThys, Simen, Wiebe Van Ranst, and Toon Goedemé. で使われていたかららしい。
最後までご覧いただきありがとうございました。
