美文网首页对抗样本和对抗训练
[论文阅读] 2018-BMVC-Robust Adversar

[论文阅读] 2018-BMVC-Robust Adversar

作者: 带刺的小河豚 | 来源:发表于2019-12-03 21:49 被阅读0次

    2018-BMVC-Robust Adversarial Perturbation on Deep Proposal-based Models

    [toc]

    摘要

    • 对抗噪音对于探索那些基于计算机视觉算法的深度学习脆弱性很有帮助
    • 本文描述了一种鲁棒性干扰(RAP),来攻击目标检测框架
      • 攻击目标检测与语义分割共同的组成部分RPN(Region Proposal Network)
      • 黑盒攻击
      • 设计了一种损失函数,包含标签损失和轮廓损失
      • 在MS COCO 2014数据集上测试
      • 6中目标检测算法,2中语义分割算法

    1. Introduction

    • 基于深度学习的算法,在计算机视觉领域,获得了非常不错的表现
      • 包括图片分类,目标检测,语义分割
    • 然而,最近研究表明,基于CNN的算法容易受到对抗样本的攻击
      • 人类无法分辨,但可以欺骗分类器
    • 与图片分类不同,语义分割和目标检测上的对抗攻击更加困难
      • 不仅需要影响类别标签,还需要影响目标位置及大小
      • 已有工作(ICCV-17)主要通过设计特定的损失函数,来影响最终类别
      • 而且,这些工作是建立在白盒攻击的前提下
    • 本文提出了RAP(Robust Adversarial Perturbation)方法,来攻击基于选区的目标检测与语义分割算法
      • 算法基础:多数目标检测以及语义分割算法均是基于RPN来提取目标候选框,即Proposals
      • 攻击原理:如果RPN被攻击成功,那么就会生成错误的候选框,随后的目标检测和语义分割都会受影响
    • RAP原理图
      • image-20191124211556609.png

      • 两个损失函数

        • Label loss(ICCV-17工作)
        • Shape loss(本文工作):攻击RPN网络中的shape regression环节

      • RAP专注于攻击RPN网络,而不是整个神经网络

    2. Related Work

    • Deep proposal-based models
      • 遵循两步框架:候选框生成与候选框优化
    • Region Proposal Network(RPN)
      • 是一种基于CNN的目标候选框生成算法
      • 开始由人工为特征图上的每个格子指定固定大小多尺寸的anchor boxes
      • 训练阶段,用这些anchor boxes与真实位置进行匹配,大于给定阈值的被设置为positive example,否则negative example
      • 测试阶段,生成所有anchor boxes的label和offset
      • 与selective search方法相比,RPN更加有效和准确
    • Adversarial perturbation
      • 用于生成噪音,来欺骗神经网络分类器
      • Lu尝试生成对抗样本来干扰stop,欺骗识别器
      • Xie提出了稠密对抗生成DAG算法,迭代欺骗分类器

    3. Method

    • 原理图

      • image-20191124214707928.png

    • 原理

      • 给定输入图片、预训练好的RPN
      • 设计目标函数:Label loss + Shape loss
      • 使用梯度迭代算法,计算扰动

    3.1 Notation and Problem Formulation

    • Notation

      • \mathcal{I}:输入图片,包含n个真实bounding boxes
      • \{\bar b_i=(\bar x_i, \bar y_, \bar w_i, \bar h_i)\}^n_{i=1}:bounding boxes集合
      • \mathcal{F}_{\theta}:模型参数为\theta的RPN网络
        • \mathcal{F}_{\theta}(\mathcal{I})=\{(s_j,b_j\}^m_{j=1}:输入图像生成的m个候选区域
          • s_j:第j个候选区域的置信度
          • b_j:第j个候选区域的bounding box
            • b_j=(x_j,y_j,w_j,h_j)
      • L_{label}:标签损失函数
        • L_{label}(\mathcal{I};\mathcal{F}_\theta)=\sum^m_{j=1}z_j\log(s_j)
          • z_j=1, if\exist i,IoU(\bar b_i, b_j)\gt u_1 and s_j\gt u_2
      • L_{shape}:轮廓损失函数
        • L_{shape}(\mathcal{I};\mathcal{F}_\theta)=\sum^m_{j=1}z_j((\Delta x_j-\tau_x)^2+(\Delta y_j-\tau_y)^2+(\Delta w_j-\tau_w)^2+(\Delta h_j-\tau_h)^2)

    • 目标Goal

      • 找到一个扰动量,叠加到输入图片上,让RPN失效
      • 该问题可以看作对于特定设计的损失函数上的优化问题
      • PSNR(Peak Signal-to-Noise Ratio),越小的扰动导致越高的PSNR
      • \min_{\mathcal{I}}L_{label}(\mathcal{I};\mathcal{F}_\theta)+L_{shape}(\mathcal{I};\mathcal{F}_\theta):目标函数
      • PSNR(\mathcal{I})\ge\epsilon:约束条件

    • 假设与前提

      • RPN模型参数\theta是固定的

    4. Experimental Results

    4.1 Dataset

    • MS COCO 2014数据集
      • 包含80两个目标类别
      • 实验采用随机选取3000张图片
      • 使用mAP指标,IoU设置为0.5与0.7

    4.2 R-AP Settings

    • 五种不同RPN架构
      • VGG16, mn(mobilenet), ResNet50, ResNet101, ResNet152
    • Adversarial Perturbations
      • p1, p2, p3, p4, p5
    • 目标检测网络
      • Faster-RCNN
    • Baseline
      • Gaussian noise

    4.3 Object Detection

    • 检测网络
      • FR-v16, FR-mn, FR-rn50, FR-rn101, FR-rn152, RFCN

    相关文章

      网友评论

        本文标题:[论文阅读] 2018-BMVC-Robust Adversar

        本文链接:https://www.haomeiwen.com/subject/lgbhgctx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        对抗样本和对抗训练

        关于我们|服务条款|联系我们|[论文阅读] 2018-BMVC-Robust Adversar|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!