A Survey on Physical Adversarial Attack in Computer Vision

要約

過去 10 年間で、ディープ ラーニングは強力な機能学習機能を備えた従来の手工芸機能の方法を劇的に変化させ、従来のタスクを大幅に改善しました。
しかし、ディープ ニューラル ネットワークは最近、敵対的なサンプルに対して脆弱であることが実証されました。敵対的なサンプルは、精巧に設計された小さなノイズによって作成された一種の悪意のあるサンプルであり、DNN を誤解させて人間には感知できないまま、間違った決定を下すように導きます。
敵対的な例は、デジタルによる敵対的攻撃と物理的な敵対的攻撃に分けることができます。
デジタル敵対的攻撃は主にラボ環境で実行され、敵対的攻撃アルゴリズムのパフォーマンスの向上に重点が置かれています。
対照的に、物理的な敵対的攻撃は、DNN システムが展開された物理世界への攻撃に焦点を当てています。これは、複雑な物理環境 (明るさ、遮蔽など) のために、より困難なタスクです。
デジタルの敵対者と物理的な敵対者の例の間の不一致は小さいですが、物理的な敵対者の例には、複雑な物理的環境の影響を克服するための特定の設計があります。
このホワイト ペーパーでは、画像認識タスク、オブジェクト検出タスク、セマンティック セグメンテーションなど、DNN ベースのコンピューター ビジョン タスクにおける物理的な敵対的攻撃の開発をレビューします。
アルゴリズムの進化を完全なものにするために、物理的な敵対的攻撃を伴わない作品を簡単に紹介します。
最初に、現在の物理的な敵対的攻撃を要約するための分類スキームを提示します。
次に、既存の物理的な敵対的攻撃の長所と短所について説明し、物理的環境に適用されたときに敵対的攻撃を維持するために使用される手法に焦点を当てます。
最後に、解決すべき現在の物理的な敵対的攻撃の問題を指摘し、有望な研究の方向性を示します。

要約(オリジナル)

In the past decade, deep learning has dramatically changed the traditional hand-craft feature manner with strong feature learning capability, resulting in tremendous improvement of conventional tasks. However, deep neural networks have recently been demonstrated vulnerable to adversarial examples, a kind of malicious samples crafted by small elaborately designed noise, which mislead the DNNs to make the wrong decisions while remaining imperceptible to humans. Adversarial examples can be divided into digital adversarial attacks and physical adversarial attacks. The digital adversarial attack is mostly performed in lab environments, focusing on improving the performance of adversarial attack algorithms. In contrast, the physical adversarial attack focus on attacking the physical world deployed DNN systems, which is a more challenging task due to the complex physical environment (i.e., brightness, occlusion, and so on). Although the discrepancy between digital adversarial and physical adversarial examples is small, the physical adversarial examples have a specific design to overcome the effect of the complex physical environment. In this paper, we review the development of physical adversarial attacks in DNN-based computer vision tasks, including image recognition tasks, object detection tasks, and semantic segmentation. For the sake of completeness of the algorithm evolution, we will briefly introduce the works that do not involve the physical adversarial attack. We first present a categorization scheme to summarize the current physical adversarial attacks. Then discuss the advantages and disadvantages of the existing physical adversarial attacks and focus on the technique used to maintain the adversarial when applied into physical environment. Finally, we point out the issues of the current physical adversarial attacks to be solved and provide promising research directions.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google