Single-pass and Transferrable GAN-Based Black-box Attacks on Object Detectors

Abstract

Objektgjenkjenning er et felt innen datasyn der en objektgjenkjenningsmodell beregner posisjon og type av objekter i bilder. Nylig forskning har vist at dype neurale nettverk er svært godt egnet til dette formålet. Det har blitt vist at neurale nettverk er sårbare mot presist utformede adverserielle angrep, som kan føre til feilklassifisering, objektskjuling, og objektfabrikering. Nylig forskning har klart å utføre vellykkede adverserielle angrep mot objektgjenkjenningsmodeller ved bruk av iterative optimiseringsmetoder. Disse metodene må vanligvis utføre flere kall til objektgjenkjenningsmodellen for å iterativt forbedre angrepet. Mange av angrepene har heller ikke blitt testet mot objektgjenkjenningsmodeller som tar enkle forsvarsmekanismer, som er i stand til å nøytralisere usynlige adverserielle endringer, i bruk. I denne oppgaven formulerer vi et nytt adverserielt angrep mot objektgjenkjenning ved bruk av generative adverserielle nettverk. Angrepet fungerer i ett pass over bildet som skal angripes, og trenger ikke å utføre kall til objektgjenkjenningsmodellen for å fungere. Dette er en viktig fordel, spesielt når man angriper sanntids-objektgjenkjenning. Vi evaluerer angrepet vårt over to forskjellige datasett og mot flere forsvarte svart-boks-modeller. Vi demonstrerer overførbarheten til angrepet, og at angrepet er motstandsdyktig mot en enkel forsvarsmekanisme.

Object detection is a computer vision task related to predicting bounding boxes and class labels for one or more objects in an image. State-of-the-art object detection performance has been achieved using deep models. However, deep neural networks have been shown to be vulnerable to carefully crafted adversarial attacks, which can lead to misclassifications, object suppression, and object fabrication. Recent works have successfully generated adversarial examples against object detectors using iterative optimization methods. Many of these attacks need to repeatedly query the target model in order to achieve the attack objectives. Additionally, the attacks are not demonstrated to work against basic defenses that can be used to neutralize imperceptible adversarial examples. In this work, we design an adversarial attack against object detection using generative adversarial networks. The attack works in a single pass over the target image, and does not need to query the target object detector to function, which is a significant advantage when attacking real-time object detection systems. Evaluating on two different datasets and on several different defended black-box detectors, we demonstrate the transferability of our attack, and its resilience towards basic defenses.