arXiv reaDer
Daedalus: Breaking Non-Maximum Suppression in Object Detection via Adversarial Examples
 このペーパーでは、オブジェクト検出(OD)タスクで冗長検出結果をフィルター処理するために一般的に使用される非最大抑制(NMS)が安全ではなくなっていることを示しています。 NMSがODシステムの不可欠な部分であることを考えると、NMSの機能を妨害すると、そのようなシステムに予期しない、または致命的な結果をもたらす可能性があります。この論文では、エンドツーエンドのODモデルでNMSの誤動作を引き起こす敵対的な攻撃例が提案されています。攻撃、つまりダイダロスは、検出ボックスのサイズを圧縮してNMSを回避します。その結果、最終的な検出出力には非常に密な偽陽性が含まれます。これは、自動運転車や監視システムなど、多くのODアプリケーションにとって致命的となる可能性があります。攻撃は、エンドツーエンドのさまざまなODモデルに一般化できるため、攻撃によってさまざまなODアプリケーションが機能しなくなります。さらに、代用として人気のある検出モデルのアンサンブルを使用して、堅牢な敵対例を作成する方法が開発されています。実世界のODシナリオでモデルを再利用することの広範にわたる性質を考慮すると、代替のアンサンブルに基づいて作成されたダイダロスの例は、犠牲者のモデルのパラメータを知らなくても攻撃を仕掛けることができます。実験結果は、攻撃がNMSによる冗長な境界ボックスのフィルタリングを効果的に阻止することを示しています。評価結果が示唆するように、ダイダロスは検出結果の誤検出率を99.9%に増やし、平均の平均精度スコアを0に減らしますが、元の入力の歪みのコストは低く抑えています。また、印刷されたポスターを介して、実際のODシステムに対して攻撃を実際に開始できることも示されています。
This paper demonstrates that Non-Maximum Suppression (NMS), which is commonly used in Object Detection (OD) tasks to filter redundant detection results, is no longer secure. Considering that NMS has been an integral part of OD systems, thwarting the functionality of NMS can result in unexpected or even lethal consequences for such systems. In this paper, an adversarial example attack which triggers malfunctioning of NMS in end-to-end OD models is proposed. The attack, namely Daedalus, compresses the dimensions of detection boxes to evade NMS. As a result, the final detection output contains extremely dense false positives. This can be fatal for many OD applications such as autonomous vehicles and surveillance systems. The attack can be generalised to different end-to-end OD models, such that the attack cripples various OD applications. Furthermore, a way to craft robust adversarial examples is developed by using an ensemble of popular detection models as the substitutes. Considering the pervasive nature of model reusing in real-world OD scenarios, Daedalus examples crafted based on an ensemble of substitutes can launch attacks without knowing the parameters of the victim models. Experimental results demonstrate that the attack effectively stops NMS from filtering redundant bounding boxes. As the evaluation results suggest, Daedalus increases the false positive rate in detection results to 99.9% and reduces the mean average precision scores to 0, while maintaining a low cost of distortion on the original inputs. It is also demonstrated that the attack can be practically launched against real-world OD systems via printed posters.
updated: Mon Jun 01 2020 05:29:56 GMT+0000 (UTC)
published: Wed Feb 06 2019 08:58:37 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)アソシエイト