敵対的攻撃によるディープイメージノイズ除去モデルの類似性と堅牢性の評価
Evaluating Similitude and Robustness of Deep Image Denoising Models via Adversarial Attack
ディープ ニューラル ネットワーク (DNN) は、従来の画像ノイズ除去アルゴリズムと比較して優れたパフォーマンスを示しています。ただし、DNN は敵対的な攻撃に直面すると必然的に脆弱になります。この論文では、ノイズ分布をほとんど変更せずに、現在のすべてのディープ デノイズ モデルを攻撃できるデノイズ PGD と呼ばれる敵対的攻撃手法を提案します。驚くべきことに、現在主流の非ブラインド ノイズ除去モデル (DnCNN、FFDNet、ECNDNet、BRDNet)、ブラインド ノイズ除去モデル (DnCNN-B、Noise2Noise、RDDCNN-B、FAN)、プラグ アンド プレイ (DPIR、CurvPnP)、および展開ノイズ除去モデル (DeamNet) は、それぞれグレースケール画像とカラー画像の両方で同じ敵対的サンプル セットをほぼ共有します。共有された敵対的サンプル セットは、これらすべてのモデルが、すべてのテスト サンプルの近傍での局所的な動作の点で類似していることを示しています。したがって、我々はさらに、ロバスト性類似度と呼ばれる、モデルの局所的な類似性を測定する指標を提案します。非ブラインド ノイズ除去モデルは相互に高い堅牢性の類似性を示すことがわかりますが、ハイブリッド駆動モデルも純粋なデータ駆動型の非ブラインド ノイズ除去モデルと高い堅牢性の類似性をもつことがわかります。私たちの堅牢性評価によると、データ駆動型の非ブラインドノイズ除去モデルが最も堅牢です。敵対的トレーニングを使用して、敵対的攻撃に対する脆弱性を補完します。さらに、モデル駆動型画像ノイズ除去 BM3D は、敵対的攻撃に対して耐性を示します。
Deep neural networks (DNNs) have shown superior performance comparing to traditional image denoising algorithms. However, DNNs are inevitably vulnerable while facing adversarial attacks. In this paper, we propose an adversarial attack method named denoising-PGD which can successfully attack all the current deep denoising models while keep the noise distribution almost unchanged. We surprisingly find that the current mainstream non-blind denoising models (DnCNN, FFDNet, ECNDNet, BRDNet), blind denoising models (DnCNN-B, Noise2Noise, RDDCNN-B, FAN), plug-and-play (DPIR, CurvPnP) and unfolding denoising models (DeamNet) almost share the same adversarial sample set on both grayscale and color images, respectively. Shared adversarial sample set indicates that all these models are similar in term of local behaviors at the neighborhood of all the test samples. Thus, we further propose an indicator to measure the local similarity of models, called robustness similitude. Non-blind denoising models are found to have high robustness similitude across each other, while hybrid-driven models are also found to have high robustness similitude with pure data-driven non-blind denoising models. According to our robustness assessment, data-driven non-blind denoising models are the most robust. We use adversarial training to complement the vulnerability to adversarial attacks. Moreover, the model-driven image denoising BM3D shows resistance on adversarial attacks.
updated: Fri Jul 07 2023 02:40:02 GMT+0000 (UTC)
published: Wed Jun 28 2023 09:30:59 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト