物体検出器に対する汎用的な敵対的パッチ攻撃への防御

敵対的パッチ攻撃に対する新しい防御手法PADを提案する。PADは、敵対的パッチの外観、形状、サイズ、位置、数に依存せずに、パッチの特徴を捉えることができる。

本論文では、敵対的パッチ攻撃に対する新しい防御手法PAD(Patch-Agnostic Defense)を提案する。 PADは、敵対的パッチの2つの特徴、「意味的独立性」と「空間的不均一性」に着目する。 意味的独立性とは、敵対的パッチが周辺の意味的コンテキストから独立して動作することを意味する。 空間的不均一性とは、敵対的パッチの生成プロセスが独立しているため、パッチ領域の画質が元の清浄な画像と異なることを意味する。 これらの特徴に基づいて、PADは事前の攻撃知識や追加の学習なしにパッチ領域の特定と除去を行う。 PADは、様々な敵対的パッチに対して汎用的な防御を提供し、事前に学習された物体検出器の堅牢性を大幅に向上させる。 デジタルおよび物理的な実験では、従来手法と比較して顕著な改善が見られた。

敵対的パッチ攻撃は、物体検出器のセキュリティを大きく脅かし、自動運転などの分野で深刻な影響を及ぼす可能性がある。 従来の防御手法は、攻撃データや事前知識に依存しており、様々な敵対的パッチに効果的に対処することが困難である。 PADは、敵対的パッチの外観、形状、サイズ、位置、数に依存せずに、パッチ領域を特定し除去することができる。

「敵対的パッチは、周辺の意味的コンテキストから独立して動作する」 「敵対的パッチの生成プロセスが独立しているため、パッチ領域の画質が元の清浄な画像と異なる」