Hardening RGB-D Object Recognition Systems against Adversarial Patch Attacks

要約

RGB-D オブジェクト認識システムは、色と深度情報を融合することで予測パフォーマンスを向上させ、色のみに依存するニューラル ネットワーク アーキテクチャを上回ります。
RGB-D システムは、RGB のみのシステムよりも敵対的な例に対してより堅牢であることが期待されていますが、非常に脆弱であることも証明されています。
元の画像の色のみを変更して敵対的な例を生成した場合でも、その堅牢性は同様です。
さまざまな作品が RGB-D システムの脆弱性を強調しました。
ただし、この弱点については技術的な説明が不足しています。
したがって、私たちの研究では、RGB-D システムの学習された深い表現を調査することでこのギャップを埋め、色の特徴によりネットワークによって学習された関数がより複雑になり、したがって小さな摂動に対してより敏感になることを発見しました。
この問題を軽減するために、敵対的な例に対して RGB-D システムをより堅牢にする検出メカニズムに基づく防御を提案します。
我々は、この防御が、この検出メカニズムを回避するためにアドホックに計算された場合でも、敵対的な例に対する RGB-D システムのパフォーマンスを向上させることを経験的に示しており、これは敵対的なトレーニングよりも効果的です。

要約(オリジナル)

RGB-D object recognition systems improve their predictive performances by fusing color and depth information, outperforming neural network architectures that rely solely on colors. While RGB-D systems are expected to be more robust to adversarial examples than RGB-only systems, they have also been proven to be highly vulnerable. Their robustness is similar even when the adversarial examples are generated by altering only the original images’ colors. Different works highlighted the vulnerability of RGB-D systems; however, there is a lacking of technical explanations for this weakness. Hence, in our work, we bridge this gap by investigating the learned deep representation of RGB-D systems, discovering that color features make the function learned by the network more complex and, thus, more sensitive to small perturbations. To mitigate this problem, we propose a defense based on a detection mechanism that makes RGB-D systems more robust against adversarial examples. We empirically show that this defense improves the performances of RGB-D systems against adversarial examples even when they are computed ad-hoc to circumvent this detection mechanism, and that is also more effective than adversarial training.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google