Defending From Physically-Realizable Adversarial Attacks Through Internal Over-Activation Analysis

要約

この作業は、物理的に実現可能な敵対的攻撃に対する畳み込みネットワークの敵対的堅牢性を向上させるための堅牢で効果的な戦略である Z-Mask を提示します。
提示された防御は、内部ネットワーク機能に対して実行される特定の Z スコア分析に依存して、入力画像内の敵対的オブジェクトに対応するピクセルを検出してマスクします。
この目的のために、潜在的な敵対的領域を示唆するために、空間的に連続した活性化が浅い層と深い層で調べられます。
このような提案は、マルチしきい値メカニズムによって集約されます。
Z-Mask の有効性は、セマンティック セグメンテーションとオブジェクト検出の両方のモデルで実行される一連の広範な実験で評価されます。
評価は、入力画像に追加されたデジタル パッチと、現実世界に配置された印刷されたパッチの両方で実行されます。
得られた結果は、Z-Mask が検出精度と攻撃を受けているネットワークの全体的なパフォーマンスの両方の点で最先端の方法よりも優れていることを確認しています。
追加の実験により、Z-Mask は防御を意識した攻撃に対しても堅牢であることが示されました。

要約(オリジナル)

This work presents Z-Mask, a robust and effective strategy to improve the adversarial robustness of convolutional networks against physically-realizable adversarial attacks. The presented defense relies on specific Z-score analysis performed on the internal network features to detect and mask the pixels corresponding to adversarial objects in the input image. To this end, spatially contiguous activations are examined in shallow and deep layers to suggest potential adversarial regions. Such proposals are then aggregated through a multi-thresholding mechanism. The effectiveness of Z-Mask is evaluated with an extensive set of experiments carried out on models for both semantic segmentation and object detection. The evaluation is performed with both digital patches added to the input images and printed patches positioned in the real world. The obtained results confirm that Z-Mask outperforms the state-of-the-art methods in terms of both detection accuracy and overall performance of the networks under attack. Additional experiments showed that Z-Mask is also robust against possible defense-aware attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google