Cho, Seung Ju, et al. "DAPAS: Denoising Autoencoder to Prevent Adversarial attack in Semantic Segmentation." arXiv preprint arXiv:1908.05195 (2019).
Abstract
- Denoise autoencoder을 이용하여 semantic segmentation에 대한 adversarial defense 기법을 제안
Introduction
- image를 pixel level에서 재구성하여 깨끗한 image를 만든다.
- 1) Gaussian distribution, 2) Uniform distribution, 3) Bimodal distribution을 noise로 사용.
- Dataset : PASCAL VOC 2012
- Model : DeepLab V3 Plus
- Result : 공격 전 - 97% / 공격 후 - 13% / 방어 후 - 68% (Accuracy)
Related Work
- 현재까지 제안된 semantic segmentation에 대한 adversarial defense 방안이 없다. 이에 effective한 semantic segmentation에 대한 adversarial defense 기법을 제안하고자 함.
- Model에 image를 넣기 전에 preprocessing을 한다는 점에서 Samangouei et al.이 제안한 Defense-GAN(2018)과 Ment et al.이 제안한 Magnet(2017)과 유사성이 있다.
- 그러나 이들은 MNIST, CIFAR 등 작은 resolution의 image들을 대상으로 하였다는 점에서 차이가 있다.
Adversarial Attack
- untargeted FGSM, Iterative-FGSM을 사용하였음.
Method
- Classifier : pre-trained DeepLab V3 Plus
- Dataset : PASCAL VOC 2012 (1424 train dataset, 1424 verification dataset)
- pixel value 0~255를 0~1로 rescale
- resolution은 553 * 553
- Denoise Autoencoder Architecture : Figure 2
- Encoder (5 conv. layer) : feature map의 resolution을 반으로 각각 줄임
- Decoder (5 deconv. layer) : feature map의 resolution을 2배로 각각 늘림
- feature map의 공간적 정보의 활용을 위하여 skip connection을 사용하여 encoder의 각 feature을(input image는 제외) decoder에 연결
- activation function으로는 ELU 사용, 마지막 layer에는 sigmoid 사용
Train : Adam optimizer, lr=0.0005
- train set에 random noise 추가하여 clean image와 noised image를 둘다 사용. (original image도 잘 분류할 수 있도록)
- noise : Gaussian, Uniform, Bimodal
1) Gaussian : mean=0, std=0.004
2) Uniform : range(-0.035, 0.035)
3) Bimodal : mixture of two Gaussian (mean=-0.024, 0.024 std=0.004)
Experiment
- Adversarial attack의 noise의 크기를 pixel당 최대 3.2%로 가정함.
- 결과 : Table 1 ~ 4
- Evaluation :
- IOU ratio of reduction = mIOU_defense / mIOU_clean
- IOU ratio of attack = mIOU_attack / mIOU_clean
- IOU ratio of robust = mIOU_defense / mIOU_clean
- performance reduction은 크지 않았음 (3% 이내)
- Bimodal이 성능이 가장 좋았음.