Certified Defences Against Adversarial Patch Attacks on Semantic Segmentation

要約

敵対的パッチ攻撃は、現実世界の深層学習アプリケーションに対する新たなセキュリティの脅威です。
Demasked Smoothing は、この脅威モデルに対するセマンティック セグメンテーション モデルの堅牢性を証明する最初のアプローチです (私たちの知る限り)。
パッチ攻撃に対する証明可能な防御に関する以前の作業は、主に画像分類タスクに焦点を当てており、多くの場合、モデル アーキテクチャの変更と、望ましくなく計算コストがかかる追加のトレーニングが必要でした。
Demasked Smoothing では、特定のトレーニング、微調整、またはアーキテクチャの制限なしで、任意のセグメンテーション モデルを適用できます。
Demasked Smoothing は、さまざまなマスキング戦略を使用して、認定された検出と認定された回復の両方に適用できます。
大規模な実験では、Demasked Smoothing は、検出タスクの 1% パッチのピクセル予測の 64% を平均して認証し、ADE20K データセットの回復タスクの 0.5% パッチに対して 48% を認証できることを示しています。

要約(オリジナル)

Adversarial patch attacks are an emerging security threat for real world deep learning applications. We present Demasked Smoothing, the first approach (up to our knowledge) to certify the robustness of semantic segmentation models against this threat model. Previous work on certifiably defending against patch attacks has mostly focused on image classification task and often required changes in the model architecture and additional training which is undesirable and computationally expensive. In Demasked Smoothing, any segmentation model can be applied without particular training, fine-tuning, or restriction of the architecture. Using different masking strategies, Demasked Smoothing can be applied both for certified detection and certified recovery. In extensive experiments we show that Demasked Smoothing can on average certify 64% of the pixel predictions for a 1% patch in the detection task and 48% against a 0.5% patch for the recovery task on the ADE20K dataset.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google