要約
過去10年間、深層学習は強力な特徴学習能力により、従来の手作業による特徴の作り方を劇的に変え、その結果、従来のタスクを驚異的に改善した。しかし、近年、ディープニューラルネットワークは、敵対的な例(精巧に設計された小さなノイズによって細工された悪意のあるサンプルの一種)に弱く、人間には感知できないまま、DNNに誤った判断をさせることが実証されています。敵対的事例は、デジタル敵対的攻撃と物理敵対的攻撃に分けられる。デジタル敵対的攻撃は、敵対的攻撃アルゴリズムの性能向上に焦点を当て、主に実験室環境で行われている。これに対し、物理的な敵対攻撃は、物理世界に展開されたDNNシステムの攻撃に焦点を当て、複雑な物理環境(明るさ、オクルージョンなど)のため、より困難な課題となっています。デジタル敵対行為と物理敵対行為の例の相違は小さいが、物理敵対行為の例では、複雑な物理環境の影響を克服するための特別な設計がなされている。本論文では、画像認識タスク、物体検出タスク、セマンティックセグメンテーションなど、DNNベースのコンピュータビジョンタスクにおける物理敵対的攻撃の開発についてレビューする。アルゴリズムの進化の完全性のために、物理的敵対的攻撃を行わない作品についても簡単に紹介する。まず、現在の物理敵対的攻撃を要約するための分類法を示す。次に、既存の物理敵対的攻撃の長所と短所を議論し、物理環境に適用された場合の敵対性を維持するための技術に焦点を当てる。最後に、現在の物理的敵対的攻撃について、解決すべき課題を指摘し、有望な研究の方向性を提供する。
要約(オリジナル)
In the past decade, deep learning has dramatically changed the traditional hand-craft feature manner with strong feature learning capability, resulting in tremendous improvement of conventional tasks. However, deep neural networks have recently been demonstrated vulnerable to adversarial examples, a kind of malicious samples crafted by small elaborately designed noise, which mislead the DNNs to make the wrong decisions while remaining imperceptible to humans. Adversarial examples can be divided into digital adversarial attacks and physical adversarial attacks. The digital adversarial attack is mostly performed in lab environments, focusing on improving the performance of adversarial attack algorithms. In contrast, the physical adversarial attack focus on attacking the physical world deployed DNN systems, which is a more challenging task due to the complex physical environment (i.e., brightness, occlusion, and so on). Although the discrepancy between digital adversarial and physical adversarial examples is small, the physical adversarial examples have a specific design to overcome the effect of the complex physical environment. In this paper, we review the development of physical adversarial attacks in DNN-based computer vision tasks, including image recognition tasks, object detection tasks, and semantic segmentation. For the sake of completeness of the algorithm evolution, we will briefly introduce the works that do not involve the physical adversarial attack. We first present a categorization scheme to summarize the current physical adversarial attacks. Then discuss the advantages and disadvantages of the existing physical adversarial attacks and focus on the technique used to maintain the adversarial when applied into physical environment. Finally, we point out the issues of the current physical adversarial attacks to be solved and provide promising research directions.
arxiv情報
| 著者 | Donghua Wang,Wen Yao,Tingsong Jiang,Guijian Tang,Xiaoqian Chen |
| 発行日 | 2023-01-04 16:17:42+00:00 |
| arxivサイト | arxiv_id(pdf) |