Redian新闻
>
ECCV 2022 | SegPGD: 能有效提升语义分割模型鲁棒性的对抗攻击方法

ECCV 2022 | SegPGD: 能有效提升语义分割模型鲁棒性的对抗攻击方法

公众号新闻

©作者 | 陈兆宇

单位 | 复旦大学ROILab

研究方向 | 对抗样本



论文标题:

SegPGD: An Effective and Efficient Adversarial Attack for Evaluating and Boosting Segmentation Robustness

论文链接:

http://arxiv.org/abs/2207.12391

收录会议:

ECCV 2022




提出的问题


分类模型的对抗攻击和防御在过去几年中得到了深入研究。语义分割作为分类的延伸,最近也受到了极大的关注。在攻击方法上,与分类不同,分割的攻击目标是同时欺骗所有像素分类。一个有效的分割模型的对抗样本预计会欺骗尽可能多的像素分类,这需要更多的攻击迭代。这一观察使得分割模型的鲁棒性评估和对抗训练都具有挑战性。

现有对抗工作在语义分割模型的鲁棒性上有两个问题:第一个是之前在分割上的攻击较弱,从而导致对抗训练生成的鲁棒在面对更强大的攻击时(SegPGD)时会不鲁棒,比如作者使用强大的攻击设置(即大量攻击迭代)评估之前工作中经过对抗训练的分割模型,发现鲁棒性会显着降低。SegPGD 可以进一步降低 mIoU,在 100 次攻击迭代下,Cityscapes 数据集上经过对抗训练的 PSPNet 的 mIoU 可以降低到接近零。

第二个问题是,对抗训练在语义分割上,耗时且鲁棒性较低作为最有效的防御策略之一,对抗训练被提出来解决分类模型的脆弱性,在训练过程中创建对抗样本并将其注入训练数据。提高分割鲁棒性的一种有前途的方法是将对抗训练应用于分割模型。

然而,在训练期间创建有效的分割对抗样本可能非常耗时。值得注意的是,已经提出了许多具有单步攻击的对抗训练策略来解决分类中对抗训练的效率问题。然而,它们在分割模型上效果不佳,因为单步攻击创建的对抗样本不足以欺骗分割模型。



解决的问题

对于一个语义分割模型 ,输入图像为 ,对应的分割标签为 为类别数量。而攻击的目标是创建一个对抗样本来误导输入图像所有像素的分类,即


2.1 SegPGD


简单地将 PGD 迁移到分割,其迭代过程为:



同样地,将交叉熵损失迁移过来,会得到:



然后,我们将损失函数重新表述为下式中的两部分。其中第一项是正确分类像素的损失,而第二项是由错误分类像素形成的。其中, 为分类正确的像素, 为分类错误的像素,



第二项的损失通常很大,因为错误分类的像素会导致较大的交叉熵损失。在创建对抗样本时,第二个损失项的梯度可能占主导地位。然而,第二项损失的增加并不会导致更好的对抗效果,因为所涉及的像素已经被错误分类。为了在分割上获得高效的对抗样本,需要进行大量的攻击迭代,以便可以累积增加第一项损失的更新以误导正确分类的像素。

为了解决上述问题,考虑到分割中的密集像素分类,作者提出了分割特定的 PGD,称为 SegPGD,它创建具有相同攻击迭代次数的更有效的对抗样本,如下式所示:


其中,两个损失项分别用 加权。请注意, 的选择非常重要。它不能通过简单地设置 来很好地工作(只考虑正确分类的像素)。在这种情况下,先前错误分类的像素在几次攻击迭代后可能再次变得分类正确,因为它们在更新扰动时被忽略。这种情况也与之前工作的观察结果一致,即对抗扰动对小噪声也很敏感。此外,由于类似的原因,将 设置为 中的固定值并不总是会导致更好的攻击性能。当大多数像素分类在几次攻击迭代后被愚弄时,错误分类像素的权重降低可以使它们中的一些再次被分类正确。

在这项工作中,作者建议使用攻击迭代次数动态设置 ,而不是手动为 指定固定值。动态调度背后的直觉是,关注在前几次攻击迭代中欺骗正确的像素分类,然后在最后几次迭代中类似地对待错误的像素分类。通过这样做,SegPGD 可以用更少的迭代实现类似的攻击效果。作者列出了一些动态计划的实例如下:



其中 t 是当前攻击迭代的索引,T 是所有攻击迭代的次数。实验表明,所有提出的策略都同样有效。在这项工作中,主要使用第一个简单的线性时间表。SegPGD 的过程如下所示:



类似地,损失函数也可以应用于单步对抗攻击,例如 FGSM。在生成的 SegFGSM 中,由于它只需要一步更新,错误分类的像素不太可能变成良性的。因此,具有建议的 调度(即 )的 SegFGSM 也显示出优于 FGSM 的攻击性能。


2.2 收敛性分析


作者首先重新描述了问题,每个像素上的损失函数为:



其优化目标可以总结为:



其中,。由于两个约束都是线性的,因此变量被限制在凹区域中。

因此,PGD 可以重新表述为:



SegPGD 可以表述为:



收敛性的判断标准:在分类任务中,损失与攻击目标直接相关。损失越大,输入被错误分类的可能性就越大。但是,它不适用于分割任务。大量的分割损失不一定会导致更多的像素错误分类,因为损失包括所有像素分类的损失。一旦像素被错误分类,像素上损失的增加不会带来更多的对抗效果。因此,我们提出了一种新的分割收敛准则,称为MisRatio,其定义为错误分类像素与所有输入像素的比率。

收敛性分析:

第一步更新对抗样本,可以简单描述为:



对于 的几乎所有错误分类像素 的第 个像素仍然被错误分类,因为自然错误分类通常对小的对抗噪声不敏感,该声明也适用于 PGD 更新规则。此外,SegPGD 可以将 的部分像素 变成 的错误分类像素。然而,PGD 这样做的效果较差,因为更新方向还考虑了 的错误分类像素。因此,SegPGD 可以在第一步实现比 PGD 更高的 MisRatio。

在所有中间步骤中,SegPGD 和 PGD 都利用所有像素分类损失的梯度来更新对抗样本。不同之处在于SegPGD 为正确分类的像素分类的损失分配了更多的权重。分配的值取决于更新迭代t。SegPGD 更侧重于在最初的几次迭代中欺骗正确分类的像素,然后将两者同等对待。通过这样做,SegPGD 可以在相同的攻击迭代下实现比 PGD 更高的 MisRatio。



在上图中,显示了每次攻击迭代中的像素分类损失和 PosiRatio(=1-MisRatio)。图 1a 显示了在 VOC 上攻击经过对抗训练的 PSPNet 的情况。在相同的攻击迭代次数下,用蓝色实线标记的 SegPGD 比 PGD 实现了更高的 MissRatio。在攻击过程中,用三角形向下标记的错误分类像素(FLoss)的损失主导了整体损失(即没有标记的红线)。与 PGD 相比,SegPDG 中的 FLoss 占整体损失的较小部分,因为 SegPGD 主要关注前几次攻击迭代中正确分类的像素。请注意,损失的规模并不重要,因为仅利用输入梯度的符号来创建对抗样本。


2.3 利用SegPGD进行分割对抗训练


作者通过将 SegPGD 用作基础攻击来改进分段对抗训练。作为一种有效且高效的分步攻击方法,SegPGD可以创建比流行的 PGD 更有效的对抗样本。通过将创建的对抗样本注入训练数据,使用 SegPGD 进行对抗训练可以在相同的计算成本下实现更鲁棒的分割模型。在之前的工作之后,下图显示了分割的对抗训练过程。




实验和效果


数据集:PASCAL VOC 2012(VOC)和 Cityscapes(CS)。

模型:选择了 PSPNet 和 DeepLab v3,选择 ResNet50 作为 backbone。

攻击设置:最大扰动

评测指标:mIoU(%)。

定量分析:



定性分析:



跟其他 SOTA 方法比较:


对抗鲁棒模型的性能:

PASCAL VOC 上的:


Cityscapes 上的:



黑盒迁移实验:





总结和不足


感觉有些简单,在对比性能这边缺少表格,都是图像的。另外,性能其实没有提高特别多,但是为后续的研究提供了一个 baseline。


更多阅读



#投 稿 通 道#

 让你的文字被更多人看到 



如何才能让更多的优质内容以更短路径到达读者群体,缩短读者寻找优质内容的成本呢?答案就是:你不认识的人。


总有一些你不认识的人,知道你想知道的东西。PaperWeekly 或许可以成为一座桥梁,促使不同背景、不同方向的学者和学术灵感相互碰撞,迸发出更多的可能性。 


PaperWeekly 鼓励高校实验室或个人,在我们的平台上分享各类优质内容,可以是最新论文解读,也可以是学术热点剖析科研心得竞赛经验讲解等。我们的目的只有一个,让知识真正流动起来。


📝 稿件基本要求:

• 文章确系个人原创作品,未曾在公开渠道发表,如为其他平台已发表或待发表的文章,请明确标注 

• 稿件建议以 markdown 格式撰写,文中配图以附件形式发送,要求图片清晰,无版权问题

• PaperWeekly 尊重原作者署名权,并将为每篇被采纳的原创首发稿件,提供业内具有竞争力稿酬,具体依据文章阅读量和文章质量阶梯制结算


📬 投稿通道:

• 投稿邮箱:[email protected] 

• 来稿请备注即时联系方式(微信),以便我们在稿件选用的第一时间联系作者

• 您也可以直接添加小编微信(pwbot02)快速投稿,备注:姓名-投稿


△长按添加PaperWeekly小编



🔍


现在,在「知乎」也能找到我们了

进入知乎首页搜索「PaperWeekly」

点击「关注」订阅我们的专栏吧


·
·


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
​TPAMI 2022 | 跨特征图注意机制的小物体语义分割技术如何让孩子边学语文边有效提升专注力?丨欢迎预约!AI对抗训练红队:使 ChatGPT 和 LLM 获得对抗鲁棒性CTF中RSA常见攻击方法【回顾与展望】2022 后疫情时代的旅游,2023 回家《山居续忆》:第二十六章:我们的音乐沙龙 —— 兼谈我的音乐观 (四) “沙龙”成员NeurIPS 2022 | 用离散对抗训练提高视觉模型的鲁棒性和泛化能力拒绝摆烂!这6种方法帮助你在EE中有效提分!ChatGPT鲁棒性分析:对抗鲁棒与分布外泛化视角AI分割一切!智源提出通用分割模型SegGPT,「一通百通」的那种用 AI 对抗 AI!斯坦福研究人员推出 DetectGPT,专门检测 ChatGPT 等模型生成的文本NeurIPS 2022 | 生成式语义分割新范式GMMSeg,可同时处理闭集和开集识别重磅!CV不存在了?CV或迎来GPT-3时刻,Meta发布「分割一切」AI 模型《更多的诗歌》:10: 哭泣的七姐妹星团西沉“准决战”迫在眉睫?乌方猜测俄军攻击方向2022 USNEWS发布美国薪酬最高行业TOP25如果大量阅读本身并不能提升语文成绩,为什么还要阅读?2022 湾区公立/私立高中 UCB 录取率排名大模型如何可靠?IBM等学者最新《基础模型的基础鲁棒性》教程|NeurIPS 2022NeurIPS 2022 Spotlight|生成式语义分割新范式GMMSeg,可同时处理闭集和开集识别谈谈环流器核聚变的原理和面对的问题机器学习背景提升项目实战下周开课!|ChatGPT聊天机器人语义情绪波动检测CV不存在了?Meta发布"分割一切"AI模型,CV或迎来GPT-3时刻!分割一切又一力作!北京智源提出通用分割模型SegGPT寅冬球道吟通用视觉GPT时刻来临?智源推出通用分割模型SegGPTCVPR 2022 | 清华&港中大提出:Glow模型助力黑盒对抗攻击今天随意浏览了一下CMU 2019AAAI 2023 Oral | 图像质量堪忧干扰视觉识别!达摩院提出RTS:鲁棒性特征建模框架如何高效提升IGCSE词汇量?CV不存在了?Meta发布「分割一切」AI 模型,CV或迎来GPT-3时刻谷歌出品:基于大型语言模型的语义解析方法Transformer升级之路:长度外推性与位置鲁棒性ECCV 2022 | MixSKD: 用于图像识别的Mixup自蒸馏方法博后招募 | 新加坡南洋理工大学S-Lab招募遥感语义分割方向博后/高级工程师ECCV 2022 | 半监督学习的隐秘角落: 无监督的数据选择性标注 USL​ECCV 2022 | 夜间图像增强: 当层分解遇到光效应抑制网络闲扯布洛芬【回顾与展望】 2022,非洲收宮之旅,阿尔及利亚,埃塞俄比亚,突尼斯CVPR 2023 | 由点到面:可泛化的流形对抗攻击,从个体对抗到流形对抗
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。