Core Concepts
オブジェクト検出タスクにおいて、非最大値抑制(NMS)の処理時間を悪用することで、モデルの推論時間を大幅に延長させる攻撃手法を提案する。
Abstract
本論文では、深層学習ベースのオブジェクト検出モデルに対する新しい種類の攻撃手法、遅延攻撃について検討している。
遅延攻撃の目的は、モデルの推論時間を最大化することで、リアルタイムアプリケーションの応答を遅延させることにある。
まず、NMSの時間複雑度を理論的に分析し、オブジェクトの数が推論時間に大きな影響を与えることを示した。
次に、この知見に基づき、オブジェクトの数を最大化する最適化問題を定式化し、空間的注意機構を導入することで、効率的に遅延攻撃用の敵対的サンプルを生成する手法「Overload」を提案した。
Nvidia Jetson NXを用いた実験では、提案手法により、オリジナルの10倍以上の推論時間を達成できることを示した。
さらに、提案手法がNMS依存の攻撃であるため、NMSを用いるすべてのオブジェクト検出モデルに対して汎用的な脅威となることを指摘した。
Stats
オリジナルの画像の推論時間は、YOLOv5sで約16.4ms、YOLOv5nで約11.5msであった。
一方、提案手法で生成した敵対的サンプルの推論時間は、YOLOv5sで約217.8ms、YOLOv5nで約128.9msと、それぞれ約13.0倍、11.0倍長くなった。