Attacking Object Detector Using A Universal Targeted Label-Switch Patch

要約

ディープ ラーニング ベースのオブジェクト検出器 (OD) に対する敵対的攻撃は、過去数年間で広く研究されてきました。
これらの攻撃は、標的オブジェクトまたはフレーム内の任意の場所に敵対的パターンを含むパッチを配置することにより、モデルが誤った予測を行うようにします。
しかし、対象オブジェクトにパッチを適用する OD に対する誤分類攻撃を提案した先行研究はありませんでした。
この研究では、最先端の物体検出器であるYOLOに対する、斬新で普遍的な標的型ラベルスイッチ攻撃を提案します。
私たちの攻撃では、(i) 調整された射影関数を使用して、画像内の複数のターゲット オブジェクト (車など) に敵対的パッチを配置できるようにします。
カメラに対する異なる視野角、および（ii）攻撃されたオブジェクトのラベルを変更できる独自の損失関数。
デジタルドメインでトレーニングされた提案されたユニバーサルパッチは、物理ドメインに転送可能です。
さまざまな種類のオブジェクト検出器、さまざまなカメラでキャプチャされたさまざまなビデオ ストリーム、およびさまざまなターゲット クラスを使用して広範な評価を実行し、物理ドメインで敵対パッチのさまざまな構成を評価しました。

要約(オリジナル)

Adversarial attacks against deep learning-based object detectors (ODs) have been studied extensively in the past few years. These attacks cause the model to make incorrect predictions by placing a patch containing an adversarial pattern on the target object or anywhere within the frame. However, none of prior research proposed a misclassification attack on ODs, in which the patch is applied on the target object. In this study, we propose a novel, universal, targeted, label-switch attack against the state-of-the-art object detector, YOLO. In our attack, we use (i) a tailored projection function to enable the placement of the adversarial patch on multiple target objects in the image (e.g., cars), each of which may be located a different distance away from the camera or have a different view angle relative to the camera, and (ii) a unique loss function capable of changing the label of the attacked objects. The proposed universal patch, which is trained in the digital domain, is transferable to the physical domain. We performed an extensive evaluation using different types of object detectors, different video streams captured by different cameras, and various target classes, and evaluated different configurations of the adversarial patch in the physical domain.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google