Targeted Physical-World Attention Attack on Deep Learning Models in Road Sign Recognition
実世界の交通標識認識は、自動運転車を構築するための重要なステップであり、そのほとんどはディープニューラルネットワーク(DNN)に大きく依存しています。最近の研究は、DNNが敵対的な例に驚くほど影響を受けやすいことを示しました。勾配ベースの攻撃、スコアベースの攻撃、決定ベースの攻撃、転送ベースの攻撃など、敵対的な例を理解して生成するために、多くの攻撃方法が提案されています。ただし、これらのアルゴリズムのほとんどは、実際の道路標識攻撃では効果がありません。これは、(1)各フレームの摂動を繰り返し学習することは、高速で移動する車では現実的ではなく、(2)ほとんどの最適化アルゴリズムは、さまざまな寄与を考慮せずにすべてのピクセルを均等にトラバースするためです。 。これらの問題を軽減するために、本論文では、実世界の道路標識攻撃のためのターゲットアテンションアタック(TAA)法を提案します。具体的には、次の貢献をしました:(1)ソフトアテンションマップを活用してこれらの重要なピクセルを強調表示し、それらのゼロ貢献領域をスキップします-これは自然な摂動の生成にも役立ちます、(2)最適化する効率的なユニバーサル攻撃を設計します事前にトレーニングされたアテンションマップのガイダンスの下でのトレーニング画像のセットに基づく単一の摂動/ノイズ、(3)簡単に最適化できる単純な目的関数の設計、(4)実世界でのTAAの有効性の評価データセット。実験結果は、TAA法が、一般的なRP2法と比較して、攻撃の成功率(約10%)を改善し、摂動損失(約4分の1)を低減することを検証しています。さらに、当社のTAAは、転送可能性や一般化機能などの優れた特性も提供します。再現性を確保するためのコードとデータを提供しています:。
Real world traffic sign recognition is an important step towards building autonomous vehicles, most of which highly dependent on Deep Neural Networks (DNNs). Recent studies demonstrated that DNNs are surprisingly susceptible to adversarial examples. Many attack methods have been proposed to understand and generate adversarial examples, such as gradient based attack, score based attack, decision based attack, and transfer based attacks. However, most of these algorithms are ineffective in real-world road sign attack, because (1) iteratively learning perturbations for each frame is not realistic for a fast moving car and (2) most optimization algorithms traverse all pixels equally without considering their diverse contribution. To alleviate these problems, this paper proposes the targeted attention attack (TAA) method for real world road sign attack. Specifically, we have made the following contributions: (1) we leverage the soft attention map to highlight those important pixels and skip those zero-contributed areas - this also helps to generate natural perturbations, (2) we design an efficient universal attack that optimizes a single perturbation/noise based on a set of training images under the guidance of the pre-trained attention map, (3) we design a simple objective function that can be easily optimized, (4) we evaluate the effectiveness of TAA on real world data sets. Experimental results validate that the TAA method improves the attack successful rate (nearly 10%) and reduces the perturbation loss (about a quarter) compared with the popular RP2 method. Additionally, our TAA also provides good properties, e.g., transferability and generalization capability. We provide code and data to ensure the reproducibility:
updated: Fri Aug 13 2021 01:29:14 GMT+0000 (UTC)
published: Fri Oct 09 2020 02:31:34 GMT+0000 (UTC)
