SegPGD: An Effective and Efficient Adversarial Attack for Evaluating and Boosting Segmentation Robustness

要約

ディープ ニューラル ネットワーク ベースの画像分類は、敵対的摂動に対して脆弱です。
画像の分類は、入力画像に人為的な小さくて知覚できない摂動を追加することで簡単にだまされる可能性があります。
最も効果的な防御戦略の 1 つとして、分類モデルの脆弱性に対処するために敵対的トレーニングが提案されました。このモデルでは、敵対的サンプルが作成され、トレーニング中にトレーニング データに注入されます。
分類モデルの攻撃と防御は、過去数年間、集中的に研究されてきました。
分類の拡張としてのセマンティック セグメンテーションも、最近大きな注目を集めています。
最近の研究では、セグメンテーション モデルをだますための効果的な敵対的な例を作成するには、多数の攻撃の反復が必要であることが示されています。
この観察により、セグメンテーション モデルでのロバスト性評価と敵対的トレーニングの両方が困難になります。
この作業では、SegPGD と呼ばれる効果的かつ効率的なセグメンテーション攻撃方法を提案します。
さらに、提案されたSegPGDが同じ数の攻撃反復の下でPGDよりも効果的な敵対的な例を作成できることを示す収束分析を提供します。
さらに、セグメンテーションの敵対的トレーニングの基本的な攻撃方法として、SegPGD を適用することを提案します。
SegPGD はより効果的な敵対的サンプルを作成できるため、SegPGD を使用した敵対的トレーニングは、セグメンテーション モデルの堅牢性を高めることができます。
私たちの提案は、一般的なセグメンテーション モデル アーキテクチャと標準的なセグメンテーション データセットでの実験でも検証されています。

要約(オリジナル)

Deep neural network-based image classifications are vulnerable to adversarial perturbations. The image classifications can be easily fooled by adding artificial small and imperceptible perturbations to input images. As one of the most effective defense strategies, adversarial training was proposed to address the vulnerability of classification models, where the adversarial examples are created and injected into training data during training. The attack and defense of classification models have been intensively studied in past years. Semantic segmentation, as an extension of classifications, has also received great attention recently. Recent work shows a large number of attack iterations are required to create effective adversarial examples to fool segmentation models. The observation makes both robustness evaluation and adversarial training on segmentation models challenging. In this work, we propose an effective and efficient segmentation attack method, dubbed SegPGD. Besides, we provide a convergence analysis to show the proposed SegPGD can create more effective adversarial examples than PGD under the same number of attack iterations. Furthermore, we propose to apply our SegPGD as the underlying attack method for segmentation adversarial training. Since SegPGD can create more effective adversarial examples, the adversarial training with our SegPGD can boost the robustness of segmentation models. Our proposals are also verified with experiments on popular Segmentation model architectures and standard segmentation datasets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google