Abstract
意味セグメンテーションモデルへの攻撃は、画像分類モデルへの攻撃よりも大幅に難しいです。攻撃者は、何千ものピクセル予測を同時に反転させる必要があるためです。標準的なピクセル単位のクロスエントロピー(CE)は、この状況に適していません。CEはすでに誤分類されているピクセルを過度に重視する傾向があり、その結果として最適化が遅くなり、モデルの頑健性を過大評価してしまいます。これらの問題に対処するために、TsallisPGDを提案します。これは、qによってパラメータ化されたCEの一般化であるTsallisクロスエントロピーに基づいて構築された敵対的攻撃です。TsallisPGDは、ピクセル間での勾配の集中度を制御することで、勾配の地形(グラディエントランドスケープ)を適応的に再形成します。qの値を変えることで、攻撃の焦点を異なる信頼度(コンフィデンス)レベルのピクセルへと誘導できます。まず、データセット、モデルアーキテクチャ、摂動予算によって有効性が変わるため、固定された単一のqが常に普遍的に最適であることはないことを示します。これに動機づけられて、最適化中にqをスイープする動的qスケジュールを提案します。Cityscapes、Pascal VOC、ADE20Kに関する大規模な実験により、TsallisPGDは、単一の検証(validation)で選択したスケジュールを用いることで、評価したすべての設定における最良の平均攻撃順位を達成し、標準モデルおよび頑健モデルの両方で精度とmIoUを低下させる点において、CEPGD、SegPGD、CosPGD、JSPGD、MaskedPGDよりも改善することが示されます。
