論文の概要、ライセンス

# (参考訳) 分類器の多段階物理ドメイン攻撃に対する防御 [全文訳有]

Defenses Against Multi-Sticker Physical Domain Attacks on Classifiers ( http://arxiv.org/abs/2101.11060v1 )

ライセンス: CC BY 4.0
Xinwei Zhao and Matthew C. Stamm(参考訳) 近年、物理ドメインの敵対的攻撃は機械学習コミュニティから大きな注目を集めている。 Eykholtらによって提案された1つの重要な攻撃。 道路標識などの物体に白黒のステッカーを付けて分類器を騙すことができる。 この攻撃は視覚的分類器に重大な脅威を与える可能性があるが、現在この攻撃から保護するために設計された防御策はない。 本稿では,マルチスティック攻撃から防御できる新たな防御策を提案する。 我々は、ディフェンダーが攻撃に関する完全な、部分的、および事前の情報を持っていない場合に動作できる防御戦略を提示します。 広範な実験を行うことで,提案する防御が,マルチステッカー攻撃を提示した場合の物理的攻撃に対する既存の防御を上回ることを示す。

Recently, physical domain adversarial attacks have drawn significant attention from the machine learning community. One important attack proposed by Eykholt et al. can fool a classifier by placing black and white stickers on an object such as a road sign. While this attack may pose a significant threat to visual classifiers, there are currently no defenses designed to protect against this attack. In this paper, we propose new defenses that can protect against multi-sticker attacks. We present defensive strategies capable of operating when the defender has full, partial, and no prior information about the attack. By conducting extensive experiments, we show that our proposed defenses can outperform existing defenses against physical attacks when presented with a multi-sticker attack.
公開日: Tue, 26 Jan 2021 19:59:28 GMT

※ 翻訳結果を表に示しています。PDFがオリジナルの論文です。翻訳結果のライセンスはCC BY-SA 4.0です。詳細はトップページをご参照ください。

翻訳結果

    Page: /      
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Physical Domain マルチステッカー物理ドメインに対する防御 0.72
Attacks Xinwei Zhao[0000−0002−4328−4846] Xinwei Zhao[0000−0002−4328−4846]攻撃 0.59
on Classifiers and Matthew C. Stamm[0000−0002−3986−4039] on Classifiers and Matthew C. Stamm[0000−0002−3986−4039] 0.69
1 2 0 2 n a J 6 2 ] R C . 1 2 0 2 n a j 6 2 ] r c である。 0.78
s c [ 1 v 0 6 0 1 1 . s c [ 1 v 0 6 0 1 1 ] である。 0.79
1 0 1 2 : v i X r a 1 0 1 2 : v i X r a 0.85
Drexel University, Philadelphia, PA, USA Drexel University, Philadelphia, PA, USA (英語) 0.82
xz355@drexel.edu, xz355@drexel.edu 0.77
mstamm@drexel.edu mstamm@drexel.edu 0.78
Abstract. have physical Recently, attacks adversarial domain from the machine important community. 抽象。 物理的に 最近 マシンの重要なコミュニティから 敵ドメインを攻撃。 0.70
One learning attention and white et al. 1つの学習の注意と白など。 0.74
can fool a by placing black classifier by Eykholt such as a road sign. 道路標識のようなEykholtによって黒い分類器を置くことによってだますことができます。 0.55
While this attack may pose a significant object to designed no are there classifiers, protect defenses currently protect can that new defenses propose paper, we this In against multi-sticker operating of defensive present strategies capable tacks. この攻撃は、分類器が存在しないように設計する上で重要な対象となりうるが、現在、新しい防衛機関が提案する紙を保護できる防衛手段を保護している。 0.71
We full, has partial, and no prior information about the attack. 我々は全力で、部分的であり、攻撃に関する事前情報はない。 0.74
By sive experiments, we show that our proposed defenses can defenses presented with a multi-sticker attacks when physical against Keywords: attacks, Defenses, Classifiers, Deep Real-world adversarial 実験によって,提案した防衛は,攻撃,防衛,分類器,深層現実界の敵対者に対する物理攻撃時に,マルチステッカーアタックを提示できることを示す。 0.74
drawn significant attack proposed stickers on an threat to visual this against attack. 攻撃に対してこれを視覚的に見せる脅威について 重要な攻撃提案のステッカーを描きました 0.56
atwhen the defender extenconducting outperform existing attack. ディフェンダーが 既存の攻撃を 上回った時 0.47
learning classification deep neural 学習 深い神経の分類 0.78
Introduction 1 for many visual systems, been widely used have neural networks Deep [38].However, networks [13,35] and robots vehicles as autonomous such [5,6,14,17,18,21,22,2 4,25,27,28,33,34]. しかし、ネットワーク[13,35]とロボット車両は、[5,6,14,17,18,21,22,2 4,25,27,28,33,34]のような自律型である。
訳抜け防止モード: はじめに、多くの視覚系で広く使われているニューラルネットワークは深い[38]。 ネットワーク[1335]と自律走行するロボット車両[5,6,14,17,18,21,22,2 4,27,28,33,34]。
0.61
By modiattacks adversarial to vulnerable are fooled. 脆弱に逆らうモディアタックによってだまされます。 0.51
be can classifiers image, many an values of the pixel fying attract started physical world have can Recently, attacks that operate in inthe to require domain attacks attention [1,4,11]. is can classifiers image, many a value of the pixel fying attract started physical world has now, intheで動作し、ドメイン攻撃の注意を必要とする攻撃[1,4,11]。 0.82
While some physical new crafting a creasing few physical or one adding classifiers the fool attacks other [1,11,19], object can a by next on such as printable patches [4,11] or to an object. いくつかの物理的な新しい工芸品は、少数の物理的または1つの追加分類器が愚か者が他の[1,11,19]を攻撃する一方で、オブジェクトは印刷可能なパッチ[4,11]またはオブジェクトに次々にすることができます。 0.61
The adversarial perturbations, attack patch creates one universal patch that can be used to attack an arbitrary object once trained, regardless of scale, location and orientation [4]. 敵対的な摂動、攻撃パッチは、スケール、位置、方向に関係なく、訓練された任意のオブジェクトを攻撃するために使用できる1つの普遍的なパッチを作成します[4]。 0.63
The art it is camouflage sign to traffic applied to an object attack uses black and white stickers a such as are that these physical perturbations a different object. 物体攻撃に適用された交通のカモフラージュサインである芸術は、物理的摂動が異なる物体であるかのように、白黒のステッカーを使用する。 0.77
it make [11] Since a classifier believe is it regions, are very concentrated and confined to small is easy for attackers to craft these physical perturbations and put the the real world. それは[11] 分類器がそれ地域を信じるので、非常に集中し、小さいに閉じ込められて攻撃者がこれらの物理的な摂動を作り、現実世界を置くことは容易です。 0.70
attack in practice in Previous research shows that defenses against digital domain attacks [2,3,7,8,9,10,12,15,1 6,20,22,26,29,30,32, 36] the such attacks, domain physical defend not may art camouflage as against be able to are usually produced because physical attack, perturbations stronger than those by digphysical ital domain Some recent research has been done to defend against attacks. 以前の研究では、デジタルドメイン攻撃に対する防御(2,3,7,8,9,10,12,15, 16,20,22,26,29,30,32 ,36) これらの攻撃、ドメイン物理防御は、物理的攻撃、物理的italドメインによる攻撃よりも摂動が強いため、通常、生成できないカモフラージュを造ることができない。 0.56
domain attacks [7,16,20,26,37]. ドメイン攻撃[7,16,20,26,37] 0.49
and adversarial against defending on focuses however, research, Existing to defend against other physical translate does not attacks like the camouflage attack しかし、他の物理的翻訳から防御するために存在する研究は、カモフラージュ攻撃のような攻撃はしない。
訳抜け防止モード: しかし 研究に焦点を絞った 防衛に逆らうのは 他の身体翻訳から守るために存在するもの カモフラージュ攻撃のように
0.72
patches, art パッチ アート 0.44
英語(論文から抽出)日本語訳スコア
2 X. Zhao, M C. Stamm 2 X.Zhao, M C. Stamm 0.82
Fig. 1. Attacked signs (a) & (d) and after (c) & (f). フィギュア。 1. 攻撃された標識(a)及び(d)および(c)及び(f)の後。 0.70
attack (e) attack (複数形 attacks) 0.71
as well as their Grad-CAM activation maps それも として Grad-CAMのアクティベーションマップ 0.67
before attack (b) & 以前 攻撃 (b)& 0.70
to defend against the example, one approach (i.e white and black sticker attack). 例の1つのアプローチ(白と黒のステッカー攻撃)に対して防御するため。 0.78
For attention-based an area perturbed the patch adversarial using or locate to attack first is and [16,26,37]. 注意に基づく場合、最初に攻撃するためにパッチを使用または配置する領域は、[16,26,37]である。
訳抜け防止モード: 注意 - パッチ対角線を乱す領域に基づく あるいは最初に攻撃する場所は [16,26,37]
0.77
The perthese or diminish areas gradient-based model, then remove camouflage attacks like the art attack, however, turbations produced by multi-sticker to cannot detected the same way due several reasons. perthese or reduced area gradient-based modelは、アートアタックのようなカモフラージュ攻撃を取り除くが、マルチステッカーによって生成されたターベーションは、いくつかの理由で同じ方法で検出できない。 0.60
First, the black and white be unlikely are hence and highly not are attack camouflage produced stickers textured, art attack works the gradient-based methods. 第一に、白黒はそうありそうになく、非常に攻撃カモフラージュ生産ステッカーテクスチャ、アートアタックはグラデーションベースの方法で動作します。 0.62
Second, to be detected via camouflage art in to content conjunction with the scene redirect the classifiers decision instead of hijacking its attention like the does. 第二に、シーンと連動したコンテンツにカモフラージュアートを介して検出されるには、その注意をハイジャックする代わりに、分類器の決定をリダイレクトします。 0.57
As a result, multi-sticker attacks are adversarial patch identified using attention-base models. その結果、マルチステッカー攻撃は注意ベースモデルを用いて敵のパッチを識別する。 0.62
to unlikely be Figure be can this of An example seen in phenomenon 1, which activation shows maps produced by presented when Grad-CAM [31] with images and before after a activation maps multi-sticker attack. これは、Grad-CAM [31]のイメージとアクティベーションがマルチステッカーアタックの前後に、表示によって生成されたマップを表示する現象1の例である。 0.61
When examining the of the pedestrian crossing 1(c), Figure shown and 1(b) Figure shown an before sign in the attack attack after in has we see that attack shifted the classifier’s can the attention off of sign. 横断歩道1(c)を検査すると、図1、図1(b)、図1、図1(b)が攻撃後の攻撃時の前兆を示すと、分類器の缶が標識の注意をそらしたことが分かる。 0.78
attacked regions will Defenses that operate by or altering these have no effect on the removing attack. 攻撃された地域は、これらを操作または変更する防御は、削除攻撃に影響を与えない。 0.69
Alternatively, from examining the activation maps of an unattacked speed limit is classifier the Figure counterpart attacked it’s and 1(e) sign paying 1(f), in Figure in that operate by removing or distorting these attention to nearly the entire sign. あるいは、攻撃されない速度制限のアクティベーションマップを調べることから、フィギュアの相手が攻撃し、1(e)のサインが1(f)となり、フィギュアはその操作でこれらの注意をほぼすべてのサインに取り除いたり歪んだりする。
訳抜け防止モード: あるいは、未攻撃の速度制限の活性化マップの検証から is classifier the Figure opponent attack it ’s and 1(e ) sign pay 1(f ) 図に示すように ほとんどすべての標識に注意を向ける または歪めます
0.73
Defenses the degrade regions will image so severely that the classifier will be unable to operate. 防御 劣化した領域は厳重に画像化され、分類器は動作できなくなる。 0.68
Furthermore, it is important for defenses against physical domain attacks to be evalphysical of simulations Digital objects. さらに,物理領域攻撃に対する防御は,デジタルオブジェクトのシミュレーションの物理性として重要である。 0.82
attacked physically of real uated on images for due evaluation used attacks are sometimes a dataset, for to the of ease creating example, digitally adding perturbations that simulate a physical attack into an image. 画像上で実用的に攻撃される攻撃は、しばしばデータセットであり、例の作成を容易にするため、物理的攻撃をイメージにシミュレートする摂動をデジタル的に追加する。 0.80
However, these digital simulations do not capture many effects that occur during imagblur, focus surfaces, of the conditions, lighting ing, effects, sampling curvature such as physicaptures camera can as such practice, In etc. しかし、これらのデジタルシミュレーションは、不明瞭、焦点面、条件の条件、照明イン、効果、物理キャプチャーカメラなどのサンプリング曲率の間に発生する多くの効果をキャプチャすることはできません。 0.68
phenomena these how a impact defenses. このような影響防御の現象です 0.74
Defenses success affect potentially can and cal the perturbations, domain of attacks may that are highly tuned features of “pristine” digital simulations of be less to successful when confronted with real images of physically attacked objects scenes. 攻撃の領域は「プリズム」デジタルシミュレーションの高度に調整された特徴であり、物理的に攻撃されたオブジェクトのシーンの実際の画像に直面すると成功しにくい可能性があります。 0.69
or rely on attention modIn this paper, we propose a new defense strategy that does not els to identify attacked image and can successfully defend against multi-sticker regions creating proposed attacks, like the art defense operates camouflage attack. この論文では、攻撃されたイメージを特定せず、アートディフェンスがカモフラージュ攻撃を行うように、提案された攻撃を作成するマルチスティック領域に対してうまく防御できる新しいディフェンス戦略を提案します。 0.72
Our likelihood defensive masks can maximize the perthat of guessing the the through targeted modifications, the perturbations the then mitigates turbations, effect of on images. 私たちの防備マスクは、ターゲティング対象の修正を推測するパーマを最大化し、その摂動を緩和し、画像への影響を軽減します。 0.62
a final decision and eventually make based defended 最終的な決定を下し、最終的に防衛する 0.61
by first location of (a)(b)(d)(e)(c)(f) 最初の場所では (a)(b)(d)(e)(c)(f)) 0.84
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
3 – against multi-sticker 3 – マルチステッカー対策 0.76
Our Contributions: – new defenses can We that set protect of a propose physical attack by Ekyholt the such as et art camouflage domain attacks al. 私たちの貢献: - 新しい防衛は、エキホルトによって提案された物理的攻撃の保護を設定することができます。 0.72
[11]. To the best of our knowledge, no existing defenses are designed to defend against such attacks. [11]. 私たちの知る限り、そのような攻撃から守るために既存の防御は設計されていません。 0.67
defenses present depending We practical can be utilized that on whether dethe partial (non-blind), the of full has fender information attack knowledge (blind). 実用性に応じて存在する防御は、部分的(非盲目)が完全であるか否かにおいて、フェンダー情報攻撃知識(blind)を有する。 0.66
attack the regarding or no information (semi-blind), attack signs create of We a new database front-facing photos of 90 physically using camouflage art attack use this database to assess our and We demonstrate our proposed defenses outperform other dethat such fenses [16], when digital watermark the as attacks, physical against presented with multi-sticker attacks. 攻撃に関する情報(半盲)、攻撃サインの作成 私たちは、このデータベースを評価するためにカモフラージュアートアタックを使用して90の新しいデータベース前面の写真を使用し、我々は、デジタル透かしが攻撃として、マルチスティックアタックで提示された物理的に提示された物理的に、そのようなファイアンス[16]を、他の証拠よりも優れています。
訳抜け防止モード: 情報(半盲または盲目)に関して攻撃する 攻撃標識の作成 we a new database front - face photo of 90 using camouflage art attack this database to assess our and we proposed defenses thanform other dethat such fenses [16]。 デジタルウォーターマークがas攻撃をマークすると、提示された複数のステッカー攻撃が物理的に発生する。
0.86
Additive Physical Domain Attacks 付加的物理ドメイン攻撃 0.81
the about attacked defense. state-of-the-art defense 攻撃された防御だ 最先端の防衛 0.60
– – P a – – P あ... 0.62
2 threat against deep neural networks [1,4,5,6,11,14,17,18, 19,21,22,24,25,27,28 ,33,34]. ディープニューラルネットワークに対する2つの脅威[1,4,5,6,11,14,17,18, 19,22,24,27,28,33,34 ]。 0.26
Adversarial attacks pose an important camouflage and the adversarial physical the Some like atart domain attacks, patch [4] an patches [11], have tack adding perceptible but can object to shown that localized identify it as a different object. 敵の攻撃は重要なカモフラージュとなり、敵の物理体 アトアートドメイン攻撃のように、パッチ[4]はパッチ[11]は、認識可能なタックを付加するが、ローカライズされたオブジェクトを別のオブジェクトとして識別することを示すには反対である。 0.61
We now briefly describe how these two make a classifier t(cid:48). この2つがどのように分類器 t(cid:48) を作るかを簡単に説明します。 0.57
class attack target at launched physical domain attacks are classifier C using To generate an adversarial patch A(cid:48), Adversarial patch: the authors of [4] use an operlocation ator O(I, A, θl, θt) to transform a given patch A, to an image then apply it at I over an [1], (EoT) attack Transformation Expectation Similarly θl. 4]の著者は、オペロケーションエータo(i, a, θl, θt)を使用して、所定のパッチaを画像に変換し、iを[1], (eot)攻撃変換期待値θl上で適用します。
訳抜け防止モード: 起動された物理ドメインアタックのクラスアタックターゲットは、逆パッチA(cid:48 )を生成するために使用する分類器Cである。 逆パッチ : [4 ] の著者は、与えられたパッチ A をイメージに変換し、[1 ] 上の I でそれを適用するために operlocation ator O(I, A, sl, st ) を使用します。 (EoT)は変形の期待を同様に攻撃します。
0.72
adversarial the to optimizing patch can be obtained by sampled transformation locations, over and EI∼I,θl∼ΘL,θt∼ΘT C(t(cid:48)|O(I, A, θl, θt)) A(cid:48) = max A where I training the distribution image denotes tion distribution denotes and ΘL the the patch is universally attack any object. 最適化パッチの逆転は、サンプル化された変換位置によって取得することができ、 EI/I/L/T C(t(cid:48)|O(I/A/O) A(cid:48) = max A ここで、分散イメージをトレーニングすると、配電分布が示され、パッチが普遍的に任意のオブジェクトを攻撃する。 0.69
Camouflage art attack: single Launching the camouflage art attack involves finding a physical different under a fooling of capable are perturbations set classifier that of P and source given perturbations conditions. Camouflage Art attack: Single Launching the camouflage art attack は、P とソースの摂動条件が与えられた摂動セット分類器である、有能な偽装の下で物理的に異なるものを見つけることを含む。 0.67
This produces for a attack, which pairing of target demonstrated by using it to fool a classifier trained to distinguish beclass, was tween different US traffic signs. これは、beclassを識別するために訓練された分類器を騙すために使用する標的のペア化が、米国内の異なる交通標識を2つに分けた攻撃を発生させる。 0.61
Let H v denote the distribution of the image of an object physical denote and and under from this sample each transformations, digital both hi can distribution. h v {\displaystyle h} が物体の像の分布を表し、このサンプルから各変換により、デジタル両方の hi が分布することができる。 0.76
The perturbations be obtained attack via optimizing, λ||Mh, P||p + Ehi∼H v J(C(hi + G(Mh, P ), t(cid:48)) (2) argmin to the perturbation (i.e ensures the the mask that applies where Mh spatial constraints is hyper-parameter a object), λ is of surface the reguthat is within the area perturbation J(·) difference the between the that measures function loss distortion, larize the the is class, G(·) alignment the and classifier’s prediction the of attacked object target the is transformations on the object function that maps to transformations on the perturbation, || · ||p norm. The perturbations be obtained attack via optimizing, λ||Mh, P||p + Ehi∼H v J(C(hi + G(Mh, P ), t(cid:48)) (2) argmin to the perturbation (i.e ensures the the mask that applies where Mh spatial constraints is hyper-parameter a object), λ is of surface the reguthat is within the area perturbation J(·) difference the between the that measures function loss distortion, larize the the is class, G(·) alignment the and classifier’s prediction the of attacked object target the is transformations on the object function that maps to transformations on the perturbation, || · ||p norm. 0.97
(cid:96)p (1) transformaof trained, can (cid:96)p 1) 訓練された缶の変形 0.77
the location. Once dataset, ΘT the of 場所は? 一度 dataset (複数形 datasets) 0.60
denotes denotes it 表記 表記 それ 0.60
英語(論文から抽出)日本語訳スコア
(x, y) result, we (x, y) その結果 0.67
X. Zhao, M C. Stamm 4 Problem Formulation 3 some to analyze attack wishes system under assume We the that containscene S(x, y) image ing an object system will the to be classified. x. zhao, m c. stamm 4 問題定式化 3 攻撃希望システムを解析するために、対象システムに含まれるs(x, y)画像が分類されるものと仮定する。 0.75
To do this, capture a digital I(x, y) classifier C(·) which maps then pre-trained to provided of the scene, which will be a t ∈ T . これを実現するために、デジタルI(x, y) 分類器 C(·) をキャプチャし、シーンを用意できるように事前訓練し、これは t ∈ T となる。 0.75
For of N classes the image into one the purposes of this work, we assume that I = S. is classifier the provided image launched, is if no adversarial then to the attack An attacker, may attempt to fool the classifier by launching a physical domain attack α(·). n クラスの場合、この作業の目的の 1 つにイメージを分類すると、i = s は与えられたイメージが起動した分類器であり、攻撃者に対して敵意がなければ、物理的なドメイン攻撃 α(·) を起動することで分類器を騙そうとする。 0.71
corresponds to physically modifying an object within the scene by adding This to it. これを追加することでシーン内のオブジェクトを物理的に修正することに対応します。 0.65
Since added adversarial perturbations these perturbations must be physically P regions or more to localized spatially they will that be assume scene, we the to of one spatial mask M, where by be regions under the specified object attack. これらの摂動は物理的にP領域以上でありなければならず、空間的に局所化され、シーンが想定されるので、1つの空間マスクMの先端は特定の物体攻撃の下の領域である。 0.66
These can a location corresponds to a perturbation being present at spatial and M (x, y) = 1 corresponds to no perturbation occurring at (x, y). これらは空間で存在する摂動に対応する場所であり、M (x, y) = 1 は (x, y) で起こる摂動に対応していない。 0.73
As can a M (x, y) = 0 scene α(S) a physically attacked express α(S(x, y)) = (1 − M (x, y))S(x, y) + M (x, y)P (x, y). M (x, y) = 0 scene α(S) と同様に、物理的に攻撃されたエクスプレス α(S(x, y)) = (1 − M (x, y))S(x, y) + M (x, y)P (x, y)P (x, y) である。 0.89
(3) the form of perturbations paper, we will take assume that the adversarial this In i.e. (3)摂動紙の形態は、これを逆転するものと仮定する。
訳抜け防止モード: (3) 摂動紙の形態。 私たちは、これを逆転すると仮定します。
0.62
[11], al. Eykholt as object an to stickers white and black et by proposed added {black, white}. 11]、アル。 Eykholt as object an to stickers white and black et by proposed added { black, white}。 0.63
adversarial the attacks, such as physical Other domain = P (x, y) allowing P (x, y) patch [4] can still be modeled using (3) by to correspond to the full color values. 物理的な他の領域 p (x, y) のように p (x, y) パッチ [4] を許容する攻撃は、(3) を使ってフルカラー値に対応するようにモデル化することができる。 0.85
Since the majority of the defenses proposed in this paper not range of do be can defenses likely it of P , values of knowledge on rely used these is the that color this that note patch. この論文で提案された防御の多くは、do be の範囲が p の防御を許さないため、これらに依拠する知識の値は、注意すべきパッチの色である。 0.73
We adversarial as such attacks domain physical other against the that attacks domain physical work only addresses involve modifying an existing physa ical object, and not attacks that involve the creation of new physical object such as and synthesized 3D objects [1] printed photos or posters [11,19]. 我々は、ドメインの物理ワークを攻撃しているドメインの物理オブジェクトに対して攻撃的であり、既存のフィザ・カルオブジェクトの変更を含むアドレスのみを攻撃し、3Dオブジェクトやプリントされた写真やポスターなどの新しい物理オブジェクトの作成に関わる攻撃ではない [11,19]。 0.77
Knowledge Scenarios 4 defend classifier, we first To assume that the defender classifier and implicitly knows is trained to distinguish between. 知識シナリオ4 分類器を防御する まず、防御者分類器を想定し、暗黙的にその区別を訓練する。 0.73
We examine it that levels of knowledge available to the defender. 私たちは、ディフェンダーに利用可能な知識のレベルを調べます。 0.57
three scenarios corresponding to different Non-blind: We assume that defender knows is attacked or not, if an object the perturbaindicates the tion masks M that perturbation areas and perturbations P . 異なる非盲検に対応する3つのシナリオ: 対象が摂動領域と摂動 p の摂動マスク m を摂動的に示す場合、ディフェンダーが知っているかどうかを仮定する。 0.69
Therefore, the located. そのため、所在する。 0.76
be directly can perturbations locations of Semi-blind: attacked is does the that assume We or not defender know the not attacked, not. be は半盲の場所を直接摂動させる: 攻撃された is は、攻撃されていない場所を知っているか、防御しないかを仮定するものである。
訳抜け防止モード: 半盲目の場所を直接摂動させることができる 攻撃 それは 守備隊が攻撃されないことを 知っていると仮定する
0.66
We also assume that if the object was the defender knows the attack method α(·). また、対象がディフェンダーである場合、攻撃メソッド α(·) を知っていると仮定する。 0.75
Therefore, perturbation masks M. However, the defender can obtain a perturbation mask MA, B for any source A and target B pairing, launching the via Blind: defender We the assume has zero does the object was not know whether attacked, the defender the defender does not know the perturbation regions. したがって、摂動マスクMは、ディフェンダーが任意のソースAとターゲットBのペアリングに対して摂動マスクMA,Bを得ることができ、ブラインドを介して起動する:ディフェンダー 仮定が0である場合、オブジェクトが攻撃されたかどうかを知らない場合、ディフェンダーは摂動領域を知らない。 0.67
Additionally, does not know the さらに、そのことを知らない。 0.72
attack. that an object attack method. 攻撃だ 物体攻撃の方法です 0.65
Specifically, that if attacked or not. 具体的に言えば 攻撃するかどうか 0.66
We know if the the defender 私たち 分かるか? 守備隊 0.55
object does the N classes オブジェクトは Nクラス 0.64
also assume has full access また あり フル アクセス 0.56
to the a へ はあ? あ... 0.38
defender is knowledge. 守備 は 知識。 0.68
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
5 domain available to 5 利用可能なドメイン 0.82
Proposed Defenses 5 physical against defend To attack, a on based defenses a we set propose of the knowledge of the amount defender. 提案する防御 5 攻撃に対する防御に対する物理的防御 a は、我々が設定した防御量に関する知識の提案である。 0.80
interto attempt defenses These remove adversarial multi-sticker or fere with effects. intertoの試みの防衛 これらは効果と逆のマルチスティックかフェールを取除きます。 0.54
If their to mitigate perturbations the defender is able information to leverage these perof locations about the potential to guided are defenses turbations, designed defenses our regions. 彼らが摂動を緩和するならば、ディフェンダーは、ガイドする可能性についてのこれらのperofの位置を活用できる情報は、防衛の摂動、私たちの地域を設計した防衛です。 0.47
Otherwise, these are than to fragile with are more perturbations the intuition that adversarial distortions the attacking. さもなければ、これらは、敵対的な攻撃を歪める直感より摂動であるよりも壊れやすいです。 0.58
are underlying object that they Our defensive strategy three major steps. 私たちの防衛戦略は3つの主要なステップです。 0.71
First, we obtain a defenis composed of defensive masks R indicating defenses. まず、防御を示す防御マスクRからなる防御を得る。 0.56
areas candidate of sive mask R or apply set to in defense regions produce defensive mask by a launch a local indicated to Second, we results a defended image δ. 防衛領域に設定したSive mask R の領域候補は,第2に示される局所の発射によって防御マスクを生成し,防御画像δ を出力する。 0.78
When in a set of defensive masks, local deour first step fenses can either be sequentially applied in conjunction with each mask to produce a to in single defended of or defended set a produce parallel applied be can they image, classifier. 一組の防御マスクにおいて、各マスクと連続して局所露光第1段のフェンスを順次塗布して、単一の防御マスクでtoを生産するか、または防御セットを施すと、画像化、分類が可能となる。 0.56
images the defended image or third step, In the images. 画像 防御された画像または3番目のステップ、画像で。 0.66
are provided to the If a set of defended images are produced by the second step, a fusion strategy is employed classification decision. 保護された画像のセットが第2のステップで生成される場合、融合戦略を分類決定に採用する。 0.74
to produce a single In what follows, we discuss each step of our proposed defenses in detail. 以下に示すように、我々は提案された防衛のそれぞれのステップを詳細に議論する。 0.71
5.1 Defensive Mask Selection are only applied that defensive distortions The goal of each defensive mask is to ensure the multi-sticker produced each since to perturbation by image, regions small the of truth ground to not want do region. 5.1 防御マスクの選択は防御的なゆがみだけ適用されます各防衛マスクの目標はイメージによってperturbationに各々作り出される複数の粘着剤を保障することです、区域を望まないべき真実の地面の小さい区域。 0.67
We small to is change the confined a still attack object. 我々は、閉じ込められた攻撃対象を変更するのが小さい。 0.71
Let R(x, y) ∈ {0, 1} the area need indicates 1 defensive mask, where denote a discuss content. R(x, y) ∈ {0, 1} を面積の必要性が1つの防御マスクを示し、そこで議論内容を表す。 0.82
Now we ground to be defended, 0 indicates the area of the truth the acquisition of defensive masks. 現在、我々は守られることを前提としており、0は防御マスクの獲得の真実の領域を示している。
訳抜け防止モード: そして、我々は守られることを決意した。 0は防御マスクの取得の真理の領域を示している。
0.68
Oracle Approach: If the let R = M. scenario, we simply Estimated Defensive Mask Sets: In semi-blind scenarios, the defender may know the potential not but α, attack method attack mask if potential the or perturbation masks leverage knowledge of α to create attack was the launched. Oracle のアプローチ: let R = M. シナリオの場合、単純に Defensive Mask Sets を推定します。半盲シナリオでは、ディフェンダーは α 以外の潜在的な攻撃メソッド攻撃マスクを知っているかもしれません。
訳抜け防止モード: oracleのアプローチ: let r = m.のシナリオでは、単に防御マスクセットを見積もるだけです。 ディフェンダーはα以外の可能性を 知っているかもしれない 攻撃方法攻撃マスクを 潜在的なor摂動マスクはαの知識を利用して攻撃を生み出す 打ち上げられた。
0.75
They can, however, a set of estimated defensive masks. しかし、彼らは一連の防御マスクを推定することができる。 0.67
attacked scene. do To this, first we an assume that is image The of an attack’s I ˆt ˆt such image the classify using by inferred can target that to be class C(I). 攻撃現場だ このために、まず、イメージ 攻撃のIは、推論によって使用される分類がクラスC(I)をターゲットとすることができるようなイメージである、と仮定します。 0.64
C = recreate it use create defender the Next, own and of to implementation can their α ˆt. C = recreate it use create defender the Next, own, and to implementation can their α t。 0.83
attack’s The attack an aimed to move true class to target class perturbation mask j can then be used as the estimated defensive mask Rj,ˆt for source and target t. This j T ∈ (cid:54)= ˆt of the such can process produce to that all for esset repeated be j j , RN,ˆt}. attack’s attack an aimed to move true class to target class perturbation mask j can be used as the estimated Defense mask Rj, t for source and target t. This j T ∈ (cid:54)= t of this such can process to that all for esset repeat is j j j , RN, t}. 0.85
masks Rˆt = {R1,ˆt, computational reduce timated To , Rˆt−1,ˆt, Rˆt+1,ˆt, . マスク R t = {R1, t, 計算還元 to , R t−1, t, R t+1, t と推定される。 0.66
. . . . . set Rˆt each target the costs while launching the defense, can be precomputed for class. . . . . . 防御を発射する費用を各目標に設定し、クラスを事前に計算することができる。 0.83
number With increasing of cost may become high conclasses, the computational for structing sets of estimated set of defense masks and launching the defense. コストが増加すると高いコンクラスとなり、推定された防御マスクのセットを構造化し、防御を発射する計算量となる。
訳抜け防止モード: 数 コストの増大に伴う計算は、高いコンクラスになる可能性がある 予測された防御マスクのセットを 構築し 防衛を起動する
0.76
To solve this problem, defender can use a subset of defensive masks instead of every single mask. この問題を解決するため、ディフェンダーはすべてのマスクの代わりに防御マスクのサブセットを使用することができる。 0.69
We propose perturbation mask M 提案します 摂動マスクM 0.70
non-blind known, 非盲検 知られている 0.61
two methods to form these 2つの方法 へ これを形づくり 0.62
subsets. the サブセット。 はあ? 0.46
is such as は そのような として 0.59
in 0.73
英語(論文から抽出)日本語訳スコア
6 X. Zhao, M C. Stamm 6 X.Zhao, M C. Stamm 0.82
of to always the of of ~ いつも ですから 0.67
defensive masks is class, 防御マスクはクラスだ 0.67
target guide to activations class utilize can defender Ranked Selection: The selection the operate attacks by physical use. ターゲット guide to activations class use can defender Ranked Selection: The selection the Operation attack by physical use。 0.74
Since to defensive masks of the subset constraining perturit to perturbations reasonable assume to is avoid areas suspicion, small these true class. 妥当な摂動に制約するサブセットの防御マスクは、疑わしい領域を避け、これらの真のクラスを小さくします。 0.61
Therefore, the boundary of its just across bation push the object the true class of an attacked image most likely shows up in the top few activated classes. したがって、bation のすぐ横にある境界は、オブジェクトを攻撃されたイメージの真のクラスにプッシュし、おそらく最も少数のアクティベートされたクラスに現れる。 0.73
To guide the of a selection defensive masks, first we assume that scene under attack (reis as activation highest class with the and true this of whether gardless or is treat not) target remaining classes, which are among the then lies class. 選択的な防御マスクを導くために、まず、攻撃中のシーン(活性化の最高クラスとしてのレイ、ガードレスか、または扱われないかどうかの真のこれ)が残りのクラスをターゲットと仮定します。 0.76
The the class ranked true according to their activation scores. クラスはアクティベーションスコアに応じて真にランク付けします。 0.75
The subset of defensive masks is then chosen as k (i.e. 防御マスクのサブセットは k (e) として選択される。 0.79
the set of masks created using the target class the highest class with assumed the classes with candidates activation) (i.e. ターゲットクラスを使用して生成されるマスクのセットで、候補がアクティベーションされたクラスを仮定する(すなわち)。 0.77
for the the the class source true the top and k through k + 1 highest second highest can conthe defender activations). クラス源が真ならば、トップとkからk+1までの最高レベルはディフェンダーのアクティベーションを和らげることができる。 0.71
By doing this, the computation cost of trol the defense while increasing the chance that the most useful defensive masks are utilized. これにより、最も有用な防御マスクが利用される可能性を高めつつ、防御をトロルする計算コストが増大する。 0.75
subset form a through Random Selection: A heuristic way to related to the selected mask is the each of random selection. サブセットはランダム選択を通してaを形成する: 選択されたマスクに関連するヒューリスティックな方法は、ランダム選択のそれぞれである。 0.76
Since each sethe image. それぞれのセシュ画像から。 0.70
By grouping several defensive lected mask can be used to defend a partial of for chance masks, it may increase the a successful defense. 複数の防御式レクテッドマスクをグループ化して、チャンスマスクの一部を守ることで、成功した防御力を高めることができます。 0.68
Randomly Chosen Regions: leverage any prior the defender cannot In blind scenarios, the possible about information these situations, we locations. ランダム選択地域: ディフェンダーができない事前の活用 盲目のシナリオでは、これらの状況に関する情報の可能性は、私たちは位置します。
訳抜け防止モード: ランダム選択領域 : ディフェンダーの事前利用は、盲目のシナリオではできません。 このような状況に関する情報は 場所だ
0.72
perturbation attack or In a regions. 摂動攻撃または地域。 0.57
Our indefensive choosing randomly of defensive masks made create set by is if we that tuition use many random defensive masks, several of them will interfere with selecting m differrandomly is made perturbations. 我々は無作為な防御マスクを無作為に選び、もし授業中に無作為な防御マスクを多用すれば、いくつかは無作為なmの選択に干渉する。 0.70
Each mask by adversarial the ent w × w windows approaches different two defenses. 敵対する各マスク w × w ウィンドウは、異なる 2 つの防御に近づきます。 0.76
We localized to apply use for randomly choosing these regions: Overlapping: The chosen at locations of each window are uniformly random from throughout a image area. オーバーラップ:各ウィンドウの場所で選択された領域は、画像領域全体から一様にランダムに選択されます。
訳抜け防止モード: 私たちはこれらの領域をランダムに選択するために使用するためにローカライズした オーバーラップ : 各ウィンドウの場所の選択は画像領域全体から一様ランダムである。
0.78
As result, some windows may overlap with one another. 結果として、いくつかの窓は互いに重なり合うことがある。 0.59
the spread are defensive that we Non-overlapping: regions ensure approach, this In the region by disallowing overlaps. 広がりは私達が非オーバーラップする防衛です:地域はアプローチを、これ保障します重複を禁じることによる地域を保障します。 0.57
We do this by first dividing the defensive throughout non-overlapping w × w blocks, into then randomly choosing m of these blocks mask as defensive regions. まず、重複しないw×wブロックを通して防御を分割し、それからランダムにこれらのブロックのmを防御領域として選択する。 0.70
5.2 Local Defense Strategies After the are can apply defenses to image regions obtained, we specified by these masks. 5.2 局所防衛戦略 are が取得した画像領域に対して防御を適用できるため,これらのマスクにより特定した。
訳抜け防止モード: 5.2 地域防衛戦略 得られた画像領域に 防御を施すことができます このマスクで 特定しました。
0.74
To make it clear, we first show how to obtain the defended imto accommodate adapt the proposed defenses age using single defensive mask, then we multiple defensive masks. 明確にするために,まず,提案する防御期間に合わせて1枚の防御マスクを装着し,複数の防御マスクを装着する方法を示す。 0.75
against the Given one defensive mask, we two methods attack. 防御マスクを1つ用意すれば 2つの方法が攻撃される 0.68
propose Targeted perturbation remapping: instead perturbations idea to This can Specifically, we of the to destroy it. ターゲットの摂動再マッピングを提案する:代わりに摂動のアイデアをこれに対して具体的に言えば、我々はそれを破壊します。 0.47
remapping removing spatial using correlation between perturbed regions. 摂動領域間の相関を利用したリマッピング除去空間 0.73
Let φ(·) be the remapping function, then a single (cid:40) defended image expressed can as, I(x, y) φ(I(x, y)) φ(·) を再マップ関数とし、I(x, y) φ(I(x, y)) として表現された単一の(cid:40) 防御画像とする。 0.82
defend to interfere the functions 機能を妨げるために防御する 0.73
R(x, y) = 0 R(x, y) = 1 R(x, y) = 0 R(x, y) = 1 0.85
defensive masks be δ(x, y) = 防御マスク な δ(x, y) = 0.70
local is (4) 地元 は (4) 0.77
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
7 functions: to black if 7 機能: ブラックにしたら 0.76
the luminance value is above はあ? 輝度値 は 上 0.64
consider three mapping In this work, we Change pixels to white. 3つのマッピングを考える この作品では、ピクセルを白に変更します。 0.63
RemapW: RemapB: black. RemapW: RemapB: Black。 0.79
Change pixels to change pixels threshold τ, Pick a RemapT: if below the the threshold and to white threshold. ピクセルを変更してピクセルしきい値 τ を変更するには、再マップを選択する。 0.59
Localized region reconstruction: The idea is to diminish or remove the effects of that local perturbed reconstructing by perturbation regions basis on image input of the of perturbations image. 局所化領域の再構築: このアイデアは、摂動画像の画像入力に基づいて摂動領域による局所的摂動再構成の効果を減少または除去することです。 0.76
Since parts other the of the region, we small are confined to a can use inpainting algorithm to reconstruct the the image. 領域の他の部分であるため、我々 は小さな画像を再構成するために絵画のアルゴリズムを使用する缶に制限されます。 0.70
The defenses discussed above can easily be adapted for multiple defensive masks. 上記の防御は、複数の防御マスクに容易に適応できる。 0.76
Let ψ(·) denote the defense. ψ(·) を防御を表す。 0.56
For a set of defensive masks R that comprises k mask, R = ..., Rk}, we {R1, R2, final single one obtain via image defended either can sequential parallel via obtain defense, defense and or a sequence of individually defended images then fuse the results. kマスク、R = ..., Rk} からなる防御マスク R の集合に対して、{R1, R2, final single one get via image defended は、防御、防御、または個別に防御された画像のシーケンスを介して並列に取得でき、その結果を融合させる。 0.82
Now we discuss sequential and parallel defense individually. 次に、シーケンスと並列防衛を個別に議論します。 0.54
Sequential defense: defense to make We applying recursively by stronger the attempt defense ψ(·) apis the (cid:96), iteration image. シーケンシャルディフェンス(Sequential Defense:Defence to make We apply recursively by stronger the attempt Defense(...) apis the (cid:96)) 反復画像。 0.85
For defended and defense single obtain the a defensive mask, ψ(cid:96)(·) = ψ(δ(cid:96)−1, R(cid:96)). 防御マスクと防御マスクは、 ψ(cid:96)(·) = ψ(δ(cid:96)−1, r(cid:96)) となる。 0.79
plied to the output of the previous step using (cid:96)th applying by The final image is obtained sequential the defense using each of defended via, individual defensive mask k . 最終画像で適用した(cid:96)thを使用して前段の出力に応じて、各防御マスクkを介して各防御マスクを用いた防衛を順次取得する。 0.71
◦ ψ1)(I) ◦ . 1(i) = 1(i) = 1(i) 。 0.32
◦ ψk−1 (5) δ = (ψk . ψk−1 (5) δ = (ψk ) である。 0.56
Parallel defense: is defended generate many of copies to each The idea input image. 並列防衛: 防御は、それぞれに多くのコピーを生成します アイデア入力画像。 0.79
Using (cid:96)th defensive mask, we define to defend one part of copy being able then using k defensive masks we get k individual (cid:96)th defended image as δ(cid:96) = ψ(I, R(cid:96)), defended images, {δ1, δ2, , δk}. 次に、(cid:96)第1の防御マスクを用いて、k個の防御マスクを用いて、k個の個々の防御マスク(cid:96)を δ(cid:96) = δ(I, R(cid:96))、防御された画像、 {δ1, δ2, δk} として保護する。 0.74
Defensive Classification 5.3 the use defenses, we to make classifier to local After applying decision making two images. 防衛分類 5.3 使用防御 決定を下す2つの画像を適用した後、局所的に分類する。 0.73
We propose the defended image or Single defended image: After the single defended image. 我々は, 1 つの防御画像の後に,防御画像または単一防御画像を提案する。 0.60
We simple use the t = C(δ). t = C(δ) をシンプルに使う。 0.72
Multiple defended images: The parallel defense will result in a sequence of defended classifier by decision fused to the use defender a The images. 複数の防御画像: パラレルディフェンスは、ユースケースディフェンダーがTheイメージに融合した決定によって、防御された分類器のシーケンスをもたらす。 0.65
the combining can get two propose images. 結合は2つの提案イメージを得ることができます。 0.56
We individually defended decisions strategies. 私たちは決定戦略を個々に擁護した。 0.50
fusion of the Use individual classifier (MV): the to make a decision with each Majority vote take defended image, t(cid:96) = C(δ(cid:96)), a majority votes of all decisions then k(cid:88) (cid:96)=1 function. 利用個人分類器(MV)の融合: 各多数決による決定は、防御された画像、t(cid:96) = C(δ(cid:96))、すべての決定の多数決は k(cid:88) (cid:96)=1 である。 0.83
Let v((cid:96)) the denote next Csof tmax(δ(cid:96)), 次の Csof tmax(δ(cid:96)) を v((cid:96)) とする。 0.84
where 1 is the indicator fusion (SF): Softmax defended image, v((cid:96)) = where 1 is the indicator fusion (SF): Softmax defended image, v((cid:96)) = 0.93
sequential defense, classifier シーケンシャルディフェンス、分類器 0.65
the output the for classifier (cid:96)th the of each of k 出力は 分類器(cid:96) k のそれぞれについて 0.73
softmax output of add softmax add softmax の softmax 出力 0.83
the to classify the defended image, はあ? 防御されたイメージを分類し 0.49
the defender will obtain a a final strategies. ディフェンダーは 最後の戦略だ 0.44
t = argmax n∈N t = argmax n∈N 0.84
1(C(δ(cid:96)) = tn) 1(C(δ(cid:96)) = tn) 0.98
(6) need decision on (6) 必要 決定 オン 0.75
. . . image with . . . 画像付き 0.82
英語(論文から抽出)日本語訳スコア
8 X. Zhao, M C. Stamm 8 X.Zhao, M C. Stamm 0.82
defended images to form a 防衛画像 へ a を形成します 0.58
then take the じゃあ 行って はあ? 0.45
class corresponding v((cid:96)) クラス 対応 v((cid:96)) 0.76
v = single vector v, k(cid:88) (cid:96)=1 to the largest t = argmax n∈N the vector v. v = 単一ベクトル v, k(cid:88) (cid:96)=1 から最大 t = argmax n∈N へのベクトル v。 0.85
value vn in v as value vn vでは 0.78
the final decision, (7) 最終回 決断だ (7) 0.69
(8) a scene (8) あ... シーン 0.59
is the nth denote the は nth 表記 はあ? 0.54
calculate correctly the (T-ASR) 正しく計算する T-ASR (複数形 T-ASRs) 0.60
class a of launched 打ち上げられたクラスa 0.75
performance of the that そのパフォーマンスは 0.57
probability evaluate rate class, 確率 利率のクラスを評価 0.74
Attack: To success attack T-ASR is defined as as the target アタック:成功への攻撃 t-asr は標的として定義される 0.72
element in where vn Evaluation Metrics 6 t∗ truth ground the denote formulating When our evaluation metrics, we let that attack is probability an scene. 要素 vn 評価基準 6 t∗ 真理 評価基準が定式化されているとき、私たちはその攻撃を確率的場面とします。 0.73
Additionally, we let πA priori a scene. さらに、πA をシーンに優先させる。 0.64
a against classifier C(·), we Classifier: the To evaluate the baseline as the being of image the accuracy classification its ground true classified as class, CA = P r(C(I) = t∗|I = S) of performance baseline the calculate the attack, we and attack untargeted the success rate(U-ASR). a against classifier C(·) we Classifier: the To evaluate the baseline as the image of the accuracy classification its ground true classified as class, CA = P r(C(I) = t∗|I = S) of performance baseline the compute the attack, we and attack untargeted the success rate(U-ASR)。 0.85
the probability that the image of an attacked scene is T-ASR = P r(C(I)) = t(cid:48)|I = α(S)) U-ASR is defined as the probability that the image of the any other than true (cid:54)= t∗|I = α(S)) U-ASR = P r(C(I)) (11) Defense: calculate evaluate the performance our To of defenses, we the Deproposed an (DR) fense Rate for attacked scene, the Classification Drop (CD) for an unattacked for (PDA) the Post-Defense Accuracy and scene, scene. 攻撃シーンのイメージが T-ASR = P r(C(I)) = t(cid:48)|I = α(S)) U-ASR は true (cid:54) = t∗|I = α(S)) U-ASR = P r(C(I)) (11)ディフェンス: 攻撃シーンに対する(DR)フェンスレート、攻撃シーンに対する分類ドロップ(CD)の未攻撃(PDA) ポストディフェンス精度とシーン、シーン、シーンの確率として定義される。
訳抜け防止モード: 攻撃されたシーンの画像が T - ASR = P r(C(I ) ) = t(cid:48)|I = α(S) である確率 ) ) U - ASR は、true (cid:54) = t*|I = α(S ) ) U - ASR = P r(C(I ) ) ( 11 ) Defense 以外の任意の画像の確率として定義されます。 攻撃されたシーンの(DR)フェンシングレートをプロポーズしました。 未攻撃の(PDA)のための分類の低下(CD)ポスト-防衛の正確さ。 そして場面、場面。
0.82
any defined DR is classified is of as as scene a the probability that the image defended classified as is true class, given it an attacked scene and its image was not the true class before the defense, (cid:54)= t∗) DR = P r(C(D(I)) = t∗|I = α(S), C(I) probability the defined unattacked as defense. 任意の定義された dr は、シーン a として分類され、攻撃されたシーンが与えられ、その画像が防御の前に真のクラスではなかった場合、その画像は真のクラスであり、 (cid:54)= t∗) dr = p r(c(d(i)) = t∗|i = α(s), c(i) は防御として定義されていない確率である。 0.78
applying the CD = CA − P r(C(D(I)) = t∗|I = S) CD = CA − P r(C(D(I)) = t*|I = S) を適用する。 0.93
classified (10) classified (12) get misclas- 分類される(10) (12)ミクラスを得る 0.66
(9) targeted CD is sified after (9)ターゲット CDは後に精製される 0.70
an attacked scene is 攻撃されたシーン は 0.71
that the image あれ はあ? image 0.62
of an as ですから アン として 0.52
class class, scene クラス クラス シーン 0.64
(13) (13) 0.85
英語(論文から抽出)日本語訳スコア
PDA is the true as PDAは本当です。 として 0.70
the of any はあ? ですから 何でも 0.42
that image as defined the probability scene the defense, after class PDA = (1 − πA)P r(C(D(I)) = t∗|I = S) + πAP r(C(D(I)) = t∗|I = α(S)) using equation 14 equation PDA = (1 − πA)(CA − CD) + πADR あれ image PDA = (1 − πA)(CA − CD) + πADR 方程式14式を用いて、クラス PDA = (1 − πA)P r(C(D(I))) = t*|I = S) + πAP r(C(D(I)) = t*|I = α(S)) の後に、防衛の確率シーンを定義した。 0.81
and 13, 11, そして 13, 11, 0.81
12 When U-ASR=1, 12 U-ASR=1 の場合 0.68
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
9 is correctly classified 9 は 正しく 分類 0.75
can be expressed (14) as, (15) できる な 表現 (14)as(15) 0.66
Experimental Results 7 experour proposed defenses, we conducted series of a performance of the To evaluate attack attempt to is the defend against camouflage art physical iments. 実験結果 7experour proposed defensesでは,カモフラージュ・アート・フィジカル・イメントに対する防御として,攻撃評価の試みを連続的に実施した。 0.76
The attack we proposed the the used classifier we The al et. 攻撃は、使用済みの分類器、we the al etを提案しました。 0.61
Eykholt by proposed evaluate to [11]. Eykholtの提案による評価[11]。 0.67
using differentiate to LISA signs common 17 US traffic traffic defense was trained sign database [23] (a US traffic sign database). LISA記号との差別化の使用 一般的な17の米国トラフィック防衛は、手話データベース[23](米国交通標識データベース)で訓練された。 0.70
The classifier was reported to achieve 91% classification accuracy their paper. 分類器は91%の分類精度を達成したと報告された。 0.66
We started by making a dataset composed in and physical of photos of unattacked ground truth source attacked signs. まず、攻撃を受けていない地上の真理源が攻撃された標識の写真と物理的に作成したデータセットを作成しました。 0.50
Then we signs under the effectiveness three the proposed of the defense method demonstrated scenarios we discussed in Section assume πA = 0.5 in 4. 次に, 提案した防衛手法の有効性の3つに留意し, πA = 0.5 in 4と仮定した。 0.72
We scenarios. all シナリオです。 全部 0.66
Dataset 7.1 no that made database exists there specifically physfor our the best of To knowledge, attack. データセット 7.1 データベースを作成したものは、特にphysfor the best of to knowledge, attackがある。 0.78
A physical art camouflage should database attack especially ical attack, using emis objects. 物理的アートのカモフラージュは、データベース攻撃、特にical攻撃をemisオブジェクトを使用して行うべきである。 0.54
This attacked physically the constructed with be of photos because the are physical defenses found perturbations against very different from pirically we that the digital reason is that effects introduced during captursimulation. これはbeの写真で構築された構造を物理的に攻撃した、なぜなら、beの物理的防御は、デジタルな理由がcaptursimulation中にもたらされた影響である、というピリオドとは全く異なる摂動を発見したからである。
訳抜け防止モード: この攻撃はbeの写真で構築された建物を物理的に攻撃した。 デジタル化の理由は、キャパタシミュレーション中に導入された効果である。
0.64
One the many ing images of physically attacked objects, such as the curvature of surfaces, focus blur, discrepancies significant in result noise, will effects, sampling physibetween sensor is approximation. 表面曲率、焦点ボケ、結果ノイズに有意な矛盾など、物理的に攻撃されたオブジェクトの多くのインゲン画像の1つは、効果、センサー間のサンプリング物理ビームは近似です。 0.64
Therefore, perturbations to important cal and digital it create a new this gap database to fill and benefit future research the community. したがって、重要なカロリーとデジタルへの摂動は、コミュニティを埋め、将来の研究に利益をもたらす新しいこのギャップデータベースを作成します。 0.63
in included To make the database, we first six US road signs which were purchased six trained to distinguish between. データベースを作成するために、私たちは最初の6つの米国道路標識を購入しました。 0.61
These the LISA-CNN is among the 16 which classes in Table 1 as indicated are signs signs. これらの LISA-CNN は、表 1 のクラスが記号記号である 16 のうちの1つである。 0.63
above ‘source’ performance baseline the data for the and assess of the To create training attack, signs our unattacked six LISA-CNN, we first captured a set of images of the possesin from −50 to +50 running angles sign each photographing by done at This was sion. 上の‘ソース’パフォーマンスでは、トレーニングアタックの作成と評価のためのデータをベースラインとして、攻撃を受けていない6つのLISA-CNNにサインします。
訳抜け防止モード: 上の‘ Source ’パフォーマンスは、Toのトレーニングアタックの生成と評価のためのデータをベースラインする。 攻撃を受けていない6つのLISA - CNNにサインを付け、最初にポセシンの画像を-50から+50のランニングアングルで撮影しました。
0.65
set of 66 images of unattacked signs. 66枚の 未攻撃のサインをセット。 0.58
a to create in an increments of 10 degrees, degrees the against a Next, we six launched series of multi-sticker attacks signs in our possession, using remaining classes listed target. a は 10 度のインクリメントで作成し、次に対する度合いで、我々は6 つが私たちの所有するマルチスティックアタックサインのシリーズを起動し、残りのクラスリストされたターゲットを使用して。 0.58
each of the 15 in Table 1 as the attack’s was done by following the attack protocol described in [11]. 攻撃として表1にある15のそれぞれは、[11]に記載された攻撃プロトコルに従って行われた。 0.88
For each pair of This sign. この記号のペアごとに。 0.64
This attacked copy source digital the of digital a created signs, we first target and then black corresponding physical copy was projected onto the copy of the source sign, この攻撃されたコピーソースデジタルデジタル作成サイン、我々は最初にターゲットと黒の対応する物理的なコピーは、ソースサインのコピーに投影されました。 0.77
英語(論文から抽出)日本語訳スコア
10 X. Zhao, M C. Stamm Table 1. 10 X.Zhao, M C. Stamm Table 1。 0.85
Source and Target Traffic 出典 ターゲットトラフィックは 0.49
signs. S denotes Category 兆候だ s はカテゴリを表す 0.48
and T denotes “target”. と T は ターゲット”。 0.62
Table 2. Non-blind Category S & T S & T S & T S & T S & T S & T T T 表2。 非盲点 カテゴリー S & T S & T S & T S & T S & T S & T T T T。 0.77
Sign Name crossing T stop T yield T signal ahead T limit speed 25 T limit 45 speed T merge T school T evaluation of DR 0.4339 0.4556 0.9222 0.6778 Sign Name crossing T stop T yield T signal ahead T limit speed 25 T limit 45 speed T merge T school T assessment of DR 0.4339 0.4556 0.9222 0.6778 0.93
Proposed defense RemapW RemapB RemapT Reconst Proposed Defense RemapW RemapB RemapT Reconst 0.84
/ “source” Sign Name lane added keep right lane ends stop ahead turn right limit school 25 30 speed limit 35 speed limit our proposed defenses. / 出典”のサインネームレーンの追加 右レーンの停止 右のリミットスクール 25のスピード制限 35のスピード制限 我々の提案する防御策。 0.81
PDA CD 0.7170 0.0000 0.7283 0.0000 0.9611 0.0000 0.0000 0.8389 PDA CD 0.7170 0.0000 0.7283 0.0000 0.9611 0.0000 0.8389 0.54
indicated by the digitally attacked and white stickers were placed on the sign in regions captured, then signs were cropped version. デジタル攻撃によって示され 白いステッカーが 捕獲された地域の標識に置かれ 標識が収穫された 0.69
of Front all the attacked facing images of 340 × 340 to set in This PNG files. Frontのすべての攻撃対象画像は340×340で、このPNGファイルにセットされる。 0.83
saved and approximately of a resulted as pixels 90 attacked physically of class source-target a different pairimages signs, each with ing. 保存されたピクセル90は、異なるペアイメージのサインを物理的に攻撃し、それぞれがingを持つ。 0.61
The database is publicly available at https://drive.google .com/drive/ folders/1qOmSubSOVY8 JzB3KfXhDQ38ihoY5GEx K?usp=sharing. このデータベースはhttps://drive.google .com/drive/ folders/1qOmSubSOVY8 JzB3KfXhDQ38ihoY5GEx Kで公開されている。 0.42
the Classifier and Attack 7.2 Baseline Evaluation of trained by accuracy of the LISA-CNN classifier classification To assess the baseline part captured as on performance its unattacked the evaluated al., we et Eykholt signs 100% classification accuevaluation, the LISA-CNN achieved this of our database. The Classifier and Attack 7.2 Baseline Evaluation of training by the LISA-CNN Classification of the LISA-CNN classifiedifier classification to evaluate the baseline part captured as on performance, we et Eykholt sign 100% classification accuevaluation, the LISA-CNN achieved this of our database。 0.87
In during their et al. reported a 91% classification racy. 彼らとアルの間です 91%の分類率が報告されました 0.63
We note that Eykholt accuracy that depend classifier. Eykholtの精度は分類器に依存している。 0.65
In evaluation of this trained this paper, when reporting metrics classification this since obtained that we the use accuracy, we on value classification of accuracy is measured on this the same set road signs in the attack set. 本論文の評価において,本手法を応用精度として,メトリクス分類を報告する際には,攻撃セット内の同一の道路標識について,精度の値分類を計測する。 0.81
Furthermore, perfect corresponds challenging test conditions for our defense, since perforto more mance would need to bring the defense rate equal to this higher classification accuracy. さらに、パーフェクトは、より多くのマンスがこのより高い分類精度に等しい防御率をもたらす必要があるため、私たちの防衛のための困難な試験条件に対応します。 0.62
attack by using the LISA-CNN Next, we measured the baseline performance of the implementation in our database. LISA-CNN Nextを使用して攻撃を行い、データベースの実装のベースラインパフォーマンスを測定しました。 0.74
Our to classify the images of physically attacked signs rate (T-ASR) and the camouflage art attack achieved a 0.9556 targeted attack success of verifies a that we were able 1.0000 to reproduce the classifier. 物理的に攻撃された標識レート(T-ASR)の画像を分類し、カモフラージュアート攻撃は0.9556の標的攻撃の成功を達成し、1.0000が分類器を再現できることを検証しました。 0.67
fool rate success attack (U-ASR). 愚か者 レートサクセスアタック(U-ASR)。 0.62
This attack this and attack, that これ 攻撃して 攻撃する。 0.70
result successfully untargeted can その結果 目標外 できる 0.60
the Non-Blind 7.3 our In first set of scenario. はあ? Non-Blind 7.3 最初のシナリオのセット。 0.54
We blind attack training the ブラインドアタックを訓練する 0.53
evaluated we our experiments, defenses’ performance the the versions the used perturbation masks of digital defender. 私たちの実験、防衛のパフォーマンス、デジタルディフェンダーの使用された摂動マスクのバージョンを評価しました。
訳抜け防止モード: 実験を評価しました defenses’ performance the version the used perturbation masks of digital defender。
0.69
While the to defensive masks oracle the as known 防護マスクのオラクルが知られている間 0.70
nonobtained while these in 守られていない間に で 0.56
英語(論文から抽出)日本語訳スコア
of DR Defense Strategies RemapW-Par(6) + MV 0.3989 0.0794 RemapB-Par(6) + MV RemapT-Par(6) + MV 0.5174 Reconst-Par(6) + MV 0.3560 0.2815 Reconst-Seq-Rand(1) 0.4237 Reconst-Seq-Rand(2) Reconst-Seq-Rand(3) 0.5350 Reconst-Seq-Rank(1) 0.3780 Reconst-Seq-Rank(2) 0.6336 0.7001 Reconst-Seq-Rank(3) 0.6667 Reconst-Seq-Rank(4) Reconst-Seq-Rank(5) 0.7000 Other Methods DR 0.2222 DW [16] [10] 0.1333 JPEG (QF=10) ですから DR Defense Strategies RemapW-Par(6) + MV 0.3989 0.0794 RemapB-Par(6) + MV RemapT-Par(6) + MV 0.5174 Reconst-Par(6) + MV 0.3560 0.2815 Reconst-Seq-Rand(1) 0.4237 Reconst-Seq-Rand(2) Reconst-Seq-Rand(3) 0.5350 Reconst-Seq-Rank(1) 0.3780 Reconst-Seq-Rank(2) 0.6336 0.7001 Reconst-Seq-Rank(3) 0.67 Reconst-Seq-Rank(4) Reconst-Seq-Rank(5) 0.64
Table 3. Evaluation CD 0.3333 0.1667 0.3333 0.0000 0.0556 0.0556 0.0834 0.0000 0.0000 0.0000 0.0000 0.0000 CD 0.0000 0.0000 表3。 Evaluation CD 0.3333 0.1667 0.3333 0.0000 0.0556 0.0556 0.0834 0.0000 0.0000 0.0000 0.0000 0.0000 CD 0.0000 0.0000 0.60
proposed PDA Defense Strategies 0.5328 RemapW-Par(6) + SF 0.4563 RemapB-Par(6) + SF 0.5921 RemapT-Par(6) + SF 0.6780 Reconst-Par(6) + SF 0.6130 Reconst-Seq-Rand4) 0.6840 Reconst-Seq-Rand(5) 0.7250 Reconst-Seq(6) 0.6890 Reconst-Seq-Gtd(1) 0.8168 Reconst-Seq-Gtd(2) 0.8501 Reconst-Seq-Gtd(3) 0.8333 Reconst-Seq-Gtd(4) 0.8500 Reconst-Seq-Gtd(5) PDA Other Methods (kernel=7) 0.6111 Median Filter [26] 0.5667 Local Smooth 提案 PDA Defense Strategies 0.5328 RemapW-Par(6) + SF 0.4563 RemapB-Par(6) + SF 0.5921 RemapT-Par(6) + SF 0.6780 Reconst-Par(6) + SF 0.6130 Reconst-Seq-Rand4) 0.6840 Reconst-Seq-Rand(5) 0.7250 Reconst-Seq(6) 0.6890 Reconst-Seq-Gtd(1) 0.8168 Reconst-Seq-Gtd(2) 0.8501 Reconst-Seq-Gtd(3) 0.8333 Reconst-Seq-Gtd(4) 0.8 Reconst-Seq-Gtd(5) PDA Other Methods (761) 0.61 0.56 0.56 [67] Local Sthth 0.65
semi-blind scenario DR 0.4186 0.0690 0.6453 0.3514 0.6200 0.6648 0.7000 0.6778 0.6623 0.6855 0.7022 0.7044 DR 0.3777 0.0000 半盲シナリオDR 0.4186 0.0690 0.6453 0.3514 0.6200 0.6648 0.7000 0.6778 0.6623 0.6855 0.7022 0.7044 DR 0.3777 0.0000 0.45
[36] Defenses Against Multi-Sticker Attacks defenses [36] マルチステッカー攻撃に対する防御 0.81
in 11 CD 0.1667 0.0000 0.1667 0.0000 0.1112 0.1389 0.1667 0.0000 0.0333 0.0667 0.1000 0.1333 CD 0.3333 0.0000 で 11 CD 0.1667 0.0000 0.1667 0.0000 0.1112 0.1389 0.1667 0.0000 0.0333 0.0667 0.1000 0.1333 CD 0.3333 0.0000 0.67
PDA 0.6260 0.5348 0.7393 0.6757 0.7544 0.7630 0.7667 0.8389 0.8145 0.8094 0.8011 0.7856 PDA 0.5222 0.5000 PDA 0.6260 0.5348 0.7393 0.6757 0.7544 0.7630 0.7667 0.8389 0.8145 0.8094 0.8011 0.7856 PDA 0.5222 0.5000 0.44
they are digital masks are not perfect ground perturbations truth locations of the actual experiment. デジタルマスクは、実際の実験の完璧な地上摂動の真実の場所ではありません。 0.65
evaluate our sufficiently close to defenses remapping three the oracle masks, we these Using perturbation evaluated as the (RemapT) remap to white (RemapB), black as well (RemapW), and threshold drop classification that region reconstruction targeted (Reconst) the defense. オラクルマスクを3枚リメイクした防御効果を十分に評価し, 白 (remapB) と黒 (remapW) と評価された摂動を用いて, 防御を標的とした領域再構成 (Reconst) の閾値降下分類を行った。 0.78
We note if always defender the because experiment this zero always is is attack an knows in to and can choose when not present apply the defense. このゼロは常に攻撃であり、存在しないときに防御を適用することができるので、常にディフェンダーに注意してください。 0.71
scenario. Threshnon-blind our the Table 2 shows performance of defenses in the olded perturbation strongest performance achieved with the highest defense rate of 0.9222 and post-defense accuracy of 0.9611. シナリオ 以下の表2は、防御率0.9222、防御後精度0.9611で達成された旧来の摂動最強の防御性能を示している。 0.59
Since both the remap-to-white and remaphalf approximately affect only strategies will to-black an to added stickers the of obremapping ject, approach it is reasonable to expect that the thresholded perturbation outperforms approach achieved second highest perthese approaches. remap-to-white と remaphalf はどちらも戦略にほとんど影響しないため、obremapping ject のステッカーを黒くすることになり、しきい値付き摂動のアプローチが2番目に高いパーセスアプローチを達成したと期待するのは合理的です。 0.59
Reconstruction lower that formance. 再建は、そのフォルムを下げます。 0.41
We slight misto due predominantly defense believe the is rate perturbation masks of the alignment between and the true locations the ideal digital physical perturbations in the attacked images. 我々は、攻撃された画像における理想的なデジタル物理的な摂動が、アライメントと真の位置のisレート摂動マスクであると信じている。 0.69
Semi-blind 7.4 semi-blind the in defenses evaluate our To deestimated of set a created scenario, we 15 the of for fensive masks each possible defensive masks of set Each target classes. 半盲7.4 インディフェンスを半盲にし,作成したシナリオをセットしたToを推定し,各クラスが設定した可能な防御マスク毎の15分の1の感覚マスクを推定した。
訳抜け防止モード: Semi - blind 7.4 semi - blind the in Defenses evaluate our To deestimated of set a created scenario。 目標クラスごとに設定した防御マスクを それぞれ15個用意しました。
0.83
and pairings contained target source of six each sign, our in sign source for one i.e. ペアリングには6つのサインの ターゲットソースが含まれました インサインのソースは1つです 0.50
launched database that an attack could be against. 攻撃の可能性があるデータベースを 立ち上げました 0.82
relevant defensive strateNext, we used these sets of defensive masks to evaluate our in Table these experiments gies. 関連する防御戦略 次に、これらの防御マスクセットを使用して、これらの実験の表で評価しました。
訳抜け防止モード: 関連する防衛戦略次。 防護マスクのセットを使って テーブルでこれらの実験ジーを評価します。
0.63
The results are of shown 3. 結果は以下のとおりである。 0.63
We adopt notation Par in parallel or and Seq to denote that a defense was applied either sequentially, and (k) to applied defenses were defense. 我々は、並列またはSeqの表記を採用して、防衛が順次適用されたこと、および(k)適用防衛が防衛であることを示す。 0.69
When used defensive masks of number denote for the in parallel, we vote fusion denote use the notation MV to denote majority SF to 数表の防御マスクを並行して使用した場合、核融合法は過半数 SF を表す表記法 MV を用いている。 0.72
and the そして はあ? 0.53
英語(論文から抽出)日本語訳スコア
12 X. Zhao, M C. Stamm 12 X.Zhao, M C. Stamm 0.82
use k, target 利用 kだ ターゲット 0.71
defensive mask, we ran 防護マスク 我々は 走った 0.61
of performance ranked mask selec“Guaranteed scenario” in and included always パフォーマンスの グレードマスク「guaranteed scenario」は、常に含まれている 0.72
Rand fusion. We softmax the random or denote to Rank and strategy. ランダム融合。 ランダムをソフトマックスするか、ランクと戦略を表す。 0.60
Additionally, we tion special a denote to use Gtd which defensive mask with the correct pair was source-target the remaining masks were the chosen. さらに,適切な対の防御マスクがソースターゲットであり,残りのマスクが選択されたgtdの使用を特別に指定した。 0.76
randomly strategy, selection in Table show that 3 Results reconstrucsequential for any mask perturbation and parallel both outperforms tion remapping. ランダムな戦略、テーブルの選択は、3結果が任意のマスクの摂動と並列の両方がアクションのリマッピングを上回っていることを示しています。
訳抜け防止モード: ランダムな戦略 表の中の選択は 3 マスクの摂動と平行な両面がイオン再マッピングに優れる結果が得られた。
0.64
The defense reconstruction activation using using (Reconst-Seq-Rank(3) ) ranked selected defensive masks three highest defense 0.7001, achieved outperforms other the all strategies highrate and and zero classification drop on unattacked images. reconst-seq-rank(3)) を用いた防御再構築の活性化は、選択された防御マスクを3つの最高防御率0.7001で評価し、他の全ての戦略を上回り、攻撃されていない画像の分類低下をゼロとした。
訳抜け防止モード: reconst - seq - rank(3 ) を用いた防衛再建の活性化 達成は、攻撃されていない画像に対して、他の全ての戦略を上回り、分類をゼロにする。
0.70
est post-defense accuracy of 0.8501, the same statistically We that Reconst-Seq-Rank(3) is as Reconstnote less masks. est post-defense accuracy of 0.8501, the same statistically We that Reconst-Seq-Rank(3) is as Reconstnote less masks。 0.82
using efficient is more computationally it but Rank(5), Selection of Defensive Mask Comparisons Strategies: values the all of For and post-defense accuracy than ranked selection strategy achieved a higher defense rate subset of defensive a well using random selection strategy. 効率性は高いが, ランク5, 防御マスク比較の選抜戦略: ランク選択戦略よりもForのすべてと防衛後の精度を高く評価し, ランダム選択戦略を用いて, 防御の防御率のサブセットを高くした。 0.80
This shows that chosen the performance. これはパフォーマンスを選んだことを示している。 0.58
Additionally, our improves masks observation our reinforces it system’s source true the about information important that class and attack target class can be top observed in the few class activations. さらに、マスクの観察を改善し、itシステムのソースを真に強化する クラスと攻撃対象クラスがいくつかのクラスアクティベーションでトップに観察できる重要な情報について。 0.77
and from the To explore impacts correct source anthe Reconst-Seqto scenario”. そして、To explores impacts correct source anthe Reconst-Seqto scenario”から。 0.84
Compared “Guaranteed the experiments other of for set strategy always achieved higher defense rate, Rand(k) the Reconst-Seq-Gtd(k) strategy, results k. These the for and post-defense accuracy, lower classification drop same imclass ply that the inclusion estimated mask for can of the the source-target correct pair of defenses. rand(k) reconst-seq-gtd(k) strategy, results k. これらのforとpost- defenseの正確性、低い分類は、ソースターゲットの正しい防御のcanの包含推定マスクと同じクラスplyを落とします。
訳抜け防止モード: セット戦略以外の実験は、常に高い防御率を達成しました。 Rand(k ) the Reconst - Seq - Gtd(k ) strategy, results k。 より低い分類は、同じImclass plyをドロップします。 ソースの缶のための包含推定マスク - ターゲット正しい防衛のペア。
0.76
performance the significantly improve are Comparing the Ranked strategy with the “Guaranteed scenario”, Ranked results k ≥ 2. パフォーマンスが大幅に改善されたのは、ランク付けされた戦略と「ガイドされたシナリオ」を比較することです。 0.59
The main that Ranked produces accuracy for a higher in post-defense ranked the that using drop. ランク付けされたメインは、ドロップを使用してランク付けされたポストディフェンスのより高い精度を示す。 0.53
classification significantly a These results lower the selection strategy not only can pick out to use, but subset of defensive masks “best” classification accuracy of unattacked images. 分類 これらの結果は、選択戦略を低くするだけでなく、防御マスクのサブセットが攻撃されていない画像の「最良の」分類精度を低下させる。 0.73
the that deteriorate can also exclude those For increases. 劣化は増加のためにそれらを排除することができます。 0.54
as drop by examining the classification both reinforced is This k increases drop classification and Reconst-Seq-Gtd(k) Reconst-Seq-Rand(k), the as k some because likely This accuracy. 両方の分類を検査することでドロップが強化されるので、k はドロップ分類を増加させ、reconst-seq-gtd(k) reconst-seq-rand(k)は as k である。 0.58
post-defense overall the hurting thus increases, is masks that negatively effect the overall performance are included. 防御後全体 傷みは増大し、全体的な性能に悪影響を及ぼすマスクである。 0.73
By contrast, Reconstin decrease same from the suffer drop classification Seq-Rank(k) does not because unperformance likely defensive masks that may hurt are excluded. 対照的に、Reconstinは、Sq-Rank(k)が傷つく可能性のある非パフォーマンスな防御マスクを除外しているためではない。 0.63
Comparisons with Related Defenses: our of properformance the compared We These attacks. 関連する防衛との比較: パフォーマンスの私たちの比較We These攻撃。 0.84
physical against existing several defenses with posed defenses domain universally are JPEG compression that such applied to an image as distortions include (DW) defiltering, as well sophisticated digital watermarking and median as the more evaluated the performance of fensive method and the local smooth approach. 提案された防御領域を持つ既存の防御領域に対する物理は、歪みとして(DW)デフィルタリングを含む画像に適用されるJPEG圧縮であり、より高度なデジタル透かしと、より評価の高いfensive法と局所スムーズなアプローチの中央値である。 0.78
While we defense the median filtering and factors quality using multiple the using JPEG defense of in results the sizes, we multiple kernel the only report strongest interest space. 複数のJPEGディフェンスを用いて中央値のフィルタリングと品質を防御する一方、最大利害関係を報告できるのは複数のカーネルのみである。 0.60
reconstrucproposed results in Table 3 show that all of our strategies with the The defense can significantly outperform each of these existing defenses. 表3で再検証された結果によると、防衛に関する我々の戦略はすべて、これらの既存の防御を著しく上回ることができる。
訳抜け防止モード: 表3の再現結果によると 防衛に関する我々の戦略はすべて、これらの既存の防御を著しく上回ることができる。
0.64
The digital tion watermarking a defense, with existing performing strongest the be to proved defense defense rate of 0.2222 and a post-defense accuracy of 0.6111. デジタル・ポジションの透かしは防御であり、既存の性能が最も強く、防御率が0.2222、防御後精度が0.6111であることが証明された。 0.59
However, even when only しかし、たとえその時だけであっても 0.55
reason is suggest 理由は 0.52
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
13 defensive mask derandomly reconstruction our region one chosen estimated used, times than three achieved more fense outperforms this approach. 13 防御マスク 地域をデランドロミカルに再構築した 推定使用量の3倍は このアプローチに優れています 0.75
Our best performance in defense rate and about 40% more in post-defense accuracy than this approach. 防御率の私達の最もよい性能および約40%はこのアプローチより後防衛の正確さで。 0.73
higher because defenses likely relatively of these performance poor they occurs The attack. これらの性能の相対的劣悪な防御は攻撃を引き起こすため、より高い。 0.67
Since the multi-sticker adversarial targeted camto are defend against the exhibits different different manner art properties, visual ouflage attack works in a attacks. マルチステッカー対向型カムトは異なる方法の異なる美術品に対して防御されるため、視覚的アンフラージュ攻撃は攻撃に有効である。 0.71
similar and this protect to suited as well not are these defenses 似ていて 適当に保護されているのが この防御装置ではなく 0.60
existing patch and against existing patch and against ♪ 0.74
is Blind 7.5 defensive created scenario, we blind the in defenses our evaluate To randomly chosen strategies. は Blind 7.5の防衛シナリオは、ランダムに選択された戦略に対する評価において、防御を目立たせています。 0.66
non-overlapping and (OL) the overlapping using both masks (NOL) identified In each experiments. 両マスク(NOL)を用いて重なり合う非重なりと (OL) それぞれの実験において識別される。 0.71
results Table of the these shows 4 experiment, we grid in for of windows use number optimal window size the and these masks through a the controlled pixels. 結果 これら4つの実験の結果, ウィンドウのグリッドインでは, ウィンドウサイズが最適であり, マスクが制御されたピクセルを通して表示される。 0.81
Next we 4, from 2, chose window size w vary search. 次に、2から選択したウィンドウサイズは、検索によって異なる。 0.68
We 16 8 total number of windows based number of windows m by randomly selecting a ratio of given window sizes. ウィンドウのサイズの比率をランダムに選択することにより、ウィンドウベースのウィンドウ m の合計数を 16 8 個選択します。 0.71
The on the results reported in Table 4 correspond to the pairing of achieved ratio w and post-defense accuracy. 表4で報告された結果は、達成率wと後防衛精度のペアリングに対応します。 0.65
A detailed examination of the highest that in later choice of w and ratio is provided the section. w と比率の後の選択で最も高いの詳細な検査は、セクションが提供されています。 0.75
this evaluation metcan all in 4, we From Table terms the see strongest performance of region using rics applied achieved was targeted reconstruction using parallel 100 in conjunction with majority random masks with non-overlapping windows devote in cision fusion (NOL-Reconst-Par(100 ) + SF). この評価ミーカンは, 4 つすべてにおいて, 表より, 適用したリックを用いた領域の最も高い性能は, 重なり合っていない窓(NOL-Reconst-Par(100 ) + SF)を多数有するランダムマスクと併用して, 並列100を用いた目標再構成であった。 0.70
no information regarding though Even rate defense able still defense was this leveraged, could the achieve to of be attack drop classification post-defense accuracy corresponding and 0.4102 with a of 0.0017 a scenario, we 0.7043. of Though performance is worse than in the semi-blind are still defenses able outperform existing in all evaluation metrics. 未だに防御できる率防御はこれを利用していたが、攻撃ドロップ分類後精度の達成は可能であり、0.0017のシナリオで0.4102を達成できたが、我々は0.7043. 半盲点よりもパフォーマンスは悪いが、すべての評価指標で現存する防御よりも優れている。 0.77
We that the local to note region reconstruction defense uniformly outperformed the targeted perturbation remapreconstruction, region targeted in defense the for strategy, ping parallel outperformed sequential application of the defense. 本報告では, 地域復興防衛が, 目標摂動再構築, for戦略の防衛を目的とした地域, ping並列化による防衛の逐次的適用よりも一様であることを示す。 0.70
Creating defensive masks using the non-overlapping strategy significantly improves choosing window locathe our (i.e. 非重複戦略を用いた防御マスクの作成は、ウインドウロカテの選択(すなわち)を大幅に改善する。 0.55
overlapping over performance defense’s performance uniformly the tions at random). パフォーマンスディフェンスのパフォーマンスを一様にランダムにオーバーラップする)。 0.51
Furthermore, we the price of additional randomly chosen masks increases. さらに,ランダムに選択したマスクの価格も上昇する。 0.74
While this comes at number of computation costs, in practice we takes 0.4 seconds on found that our proposed defense at execution time optimization. これは計算コストがかかるが、実際には、実行時の最適化で提案された防御策を見つけるのに0.4秒かかる。 0.65
attempt any average using 100 masks without Effect of Size and Number of Windows: To understand the effect that the window size (or ratio) in each randomly chosen defensive mask has on and number of windows search over these parameters our defense, we provide detailed results of our in Table 5. サイズおよびWindowsの数の効果なしで100のマスクを使用して平均を試みて下さい:各ランダムに選ばれた防衛マスクの窓のサイズ(か比率)が私達の防衛のこれらの変数を捜す窓の数に持っている効果を理解するために、私達は表5の私達の詳しい結果を提供します。
訳抜け防止モード: サイズとウィンドウ数の影響なしに100のマスクを使って平均で試みる ランダムに選択した各防御マスクの窓の大きさ(または比率)が与える影響を理解すること。 そして、これらのパラメーターを探索するウィンドウの数、そして、我々は、表5の詳細な結果を提供します。
0.79
∗ means 0.625, ratio size when The computed the was and window 16 was symbol ratio equals it not of windows number integer. ∗ は 0.625 を意味し、was と window 16 が記号比であるとき、その比率は windows number integer と等しい。 0.77
However, was 0.5 if was an to when equals and ratio was 0.75 when rounded down, to when rounded up. しかし, 対等, 対等, 対等比が0.75, 対等が0.5であった。
訳抜け防止モード: しかし, 対等, 対等比が0.75であれば0.5であった。 丸められた時に。
0.80
increases The results show that the defense as the ratio (i.e the number of winrate dows) increases. 結果の増加は、比(すなわちウィンレートドーフの数)による防御が増加することを示している。 0.79
After a certain point, the classification drop also increases, resulting in increasing the window also find that accuracy. ある時点の後に、分類の低下も増加し、結果として窓の精度も向上する。 0.65
We effect on the post-defense a negative rate defense rate defense increases size to a certain begins up point, after which the 防御後、負の率防御率の防御は、特定の開始点までのサイズを増加させます。 0.67
approach note that increases the アプローチは 増加 はあ? 0.51
and applying a そして 適用 あ... 0.53
as として 0.51
英語(論文から抽出)日本語訳スコア
14 X. Zhao, M C. Stamm 14 X.Zhao, M C. Stamm 0.82
in the blind-scenario. では blind-scenario 0.77
Defense Strategies Table 4. Defense performance CD 0.2367 0.1650 0.0333 0.0333 0.1782 0.8450 0.0717 0.0350 0.0000 0.0167 CD 0.0000 0.0000 防衛戦略 表4。 防御性能 cd 0.2367 0.1650 0.0333 0.0333 0.1782 0.8450 0.0717 0.0350 0.0167 cd 0.0000 0.0000 0.66
DR 0.1210 0.1271 0.0713 0.0778 0.2352 0.1588 0.1836 0.1762 0.1362 0.2415 DR 0.2222 0.1333 DR 0.1210 0.1271 0.0713 0.0778 0.2352 0.1588 0.1836 0.1762 0.1362 0.2415 DR 0.2222 0.1333 0.45
DR PDA 0.4422 NOL-RemapT-Par(6) + MV 0.1236 0.4811 NOL-RemapT-Par(6) + SF 0.1255 0.5190 NOL-RemapT-Par(100) + MV 0.0482 0.5222 NOL-RemapT-Par(100) + SF 0.0737 0.1942 0.5286 NOL-Reconst-Seq(6) 0.1569 NOL-Reconst-Seq(100) 0.2553 0.3444 0.5560 NOL-Reconst-Par(6) + MV 0.5706 NOL-Reconst-Par(6) + SF 0.3501 0.5681 NOL-Reconst-Par(100) + MV 0.4129 0.4102 0.6124 NOL-Reconst-Par(100) + SF DR Other Methods PDA (kernel=7) 0.6111 Median Filter 0.3777 0.5667 [26] Local Smooth 0.0000 DR PDA 0.4422 NOL-RemapT-Par(6) + MV 0.1236 0.4811 NOL-RemapT-Par(6) + SF 0.1255 0.5190 NOL-RemapT-Par(100) + MV 0.0482 0.5222 NOL-RemapT-Par(100) + SF 0.0737 0.1942 0.5286 NOL-Reconst-Seq(6) 0.1569 NOL-Reconst-Seq(100) 0.2553 0.3444 0.5560 NOL-Reconst-Par(6) + MV 0.5706 NOL-Reconst-Par(6) + SF 0.350181 NOL-Reconst-Par(100) + MV 0.4141 0.5222 NOL-RemapT-Par(100) + SF 0.0737 0.5286 NOL-Reconst-Seq(6) 0.1569 NOL-Reconst-Seq(100) 0.2553 0.53 0.5444 0.5560 NOL-Reconst-Par(6) + SF 0.5706 NOL-Reconst-Par(6)
訳抜け防止モード: DR PDA 0.4422 NOL - RemapT - Par(6 ) + MV 0.1236 0.4811 NOL - RemapT - Par(6 ) + SF 0.1255 0.5190 NOL - RemapT - Par(100 ) MV 0.0482 0.5222 NOL - RemapT - Par(100 ) + SF 0.0737 0.1942 0.5286 NOL - Reconst - Seq(6 ) 0.1569 NOL - Reconst - Seq(100 ) 0.2553 0.3444 0.5560 NOL - Reconst - Par(6 ) MV 0.5706 NOL - Reconst - Par(6 ) + SF 0.3501 0.5681 NOL - Reconst - Par(100 ) + MV 0.4129 0.4102 0.6124 NOL - Reconst - Par(100 ) + SF DR Other Methods PDA ( kernel=7 ) 0.6111 Median Filter 0.3777 0.5667 [ 26 ] Local Smooth 0.0000
0.59
PDA Defense Strategies 0.4976 OL-RemapT-Par(6) + MV OL-RemapT-Par(6) + SF 0.4994 0.4991 OL-RemapT-Par(100) + MV OL-RemapT-Parallel(1 00) + SF 0.5035 0.5584 OL-Reconst-Seq(6) OL-Reconst-Seq(100) 0.3027 0.6488 OL-Reconst-Par(6) + MV 0.6593 OL-Reconst-Par(6) + SF 0.7031 OL-Reconst-Par(100) + MV 0.7043 OL-Reconst-Par(100) + SF PDA Other Methods 0.5222 DW [16] [10] JPEG (QF=10) 0.5000 Table 5. PDA Defense Strategies 0.4976 OL-RemapT-Par(6) + MV OL-RemapT-Par(6) + SF 0.4994 0.4991 OL-RemapT-Par(100) + MV OL-RemapT-Parallel(1 00) + SF 0.5035 0.5584 OL-Reconst-Seq(6) OL-Reconst-Seq(100) 0.3027 0.6488 OL-Reconst-Par(6) + MV 0.6593 OL-Reconst-Par(6) + SF 0.7031 OL-Reconst-Par(100) + MV 0.7043 OL-Reconst-Par(100) + MV 0.7043 OL-Reconst-Par(100) + Par(100) + SF 0.5222 その他の手法 [10] [10] JPEG 0.5035 表 5 表 5 表 5 表 5 0.59
Local region reconstruction using 100 parallel masks with non-overlapping windows and of windows. オーバーラップしない窓と窓を有する100面の並列マスクを用いた局所領域再構成 0.69
softmax Ratio = 0.75 CD 0.1283 0.0233 0.2500 0.3333 Softmax Ratio = 0.75 CD 0.1283 0.0233 0.2500 0.3333 0.57
16, 0.625 ratio Ratio = 0.5 CD 0.0000 0.0000 0.0000 0.1400 16 0.625 比比 = 0.5 cd 0.0000 0.0000 0.0000 0.1400 0.60
CD 0.1283 0.1267 0.0500 0.0667 0.0775 0.6300 0.0467 0.0317 0.0067 0.0017 CD 0.3333 0.0000 CD 0.1283 0.1267 0.0500 0.0667 0.0775 0.6300 0.0467 0.0317 0.0067 0.0017 CD 0.3333 0.0000 0.45
Ratio = 0.25 CD 0.0000 0.0000 0.0000 0.0000 Ratio = 0.25 CD 0.0000 0.0000 0.0000 0.0000 0.0000 0.48
DR 0.2770 0.3153 0.4701 0.1353 DR 0.2770 0.3153 0.4701 0.1353 0.50
non-integer in a Ratio = 0.625 非整数 in a Ratio = 0.625 0.76
PDA 0.5273 0.5269 0.5824 0.5092 PDA 0.5273 0.5269 0.5824 0.5092 0.50
DR 0.1528 0.1818 0.3268 0.1073 DR 0.1528 0.1818 0.3268 0.1073 0.50
DR 0.0546 0.0537 0.1648 0.0183 DR 0.0546 0.0537 0.1648 0.0183 0.50
PDA 0.5744 0.6460 0.6101 0.401 PDA 0.5744 0.6460 0.6101 0.401 0.50
PDA 0.5764 0.5909 0.6634 0.4837 PDA 0.5764 0.5909 0.6634 0.4837 0.50
DR 0.2027 0.2395 0.4102 DR 0.2027 0.2395 0.4102 0.53
CD 0.0033 0.0000 0.0017 ∗ CD 0.0033 0.0000 0.0017 0.63
PDA 0.5997 0.6198 0.7043 PDA 0.5997 0.6198 0.7043 0.53
w = 2 w = 4 w = 8 w = 16 w = 2 w = 4 w = 8 w = 16 0.85
fusion. * For window size 核融合 ※窓の大きさ 0.71
results number [36] 結果 番号 [36] 0.78
increasing the window size ウィンドウサイズを拡大し 0.89
also leads a certain point, to after to decrease. また、ある点に到達し、その後に減少する。 0.69
Additionally, accuracy. in the post-defense In our classification drop and a decrease in the an increase pixels 8 optimal window size was and 0.625. ratio was found experiments, we that the ratio (i.e and the the number of winimportantly, when choosing the window size More attack the interfering with between the balance defender must trade-off dows), and the interfering with the classifier. さらに、精度。 In the post-defense in the classification drop and a decrease in the increase pixels 8 optimal window size and 0.625。 the ratio that the ratio (e and the the number of winimportly, when the window size, More attack the interfering with the balance defender must trade-off dows) and the interfering with the classifier。 0.70
content by the scene used unattacked Defenses: with Related Comparisons that From Table 4, see applying we can region reconstruction in parallel using non-overlapping masks outperforms the existing also considered in the defenses these semi-blind scenario (the performance of that were in the blind scenario). 関連比較 表4から、非オーバーラップマスクを使用して地域再構築を並行して適用できることは、これらの半盲シナリオ(そのパフォーマンスは盲目のシナリオ)の防衛で考慮されている既存のものよりも優れています。 0.74
This even when only six change defenses do not randomly generated non-overlapping masks are used. これは、6つの変更防御がランダムに生成された非重複マスクを使用しなくてもよい。 0.59
Conclusions 8 against strategies proposed paper, we In this physical attacks with domain camouflage attacks, like on a special focus the multi-sticker art proposed attack. 結論 提案する戦略に対する8 論文では,マルチステッカーアート攻撃のようなドメイン・カモフラージュ攻撃を伴う物理的攻撃について述べる。 0.74
Our of effect the diminishing of likelihood the maximize to attempt methods physithe perturbation, cal of defender’s levels different given the knowledge. 私たちの効果は、知識によって異なるディフェンダーのレベルである摂動を最大化するための方法を試す可能性の低下です。 0.70
We conducted an proposed our to experiments extensive amount of show that defense can successfully defend against the camouflage art attack under many scenarios with small classification drops on unattacked objects. 多数のシナリオにおいて,攻撃対象物に小さな分類ドロップを施したカモフラージュアート攻撃に対して,防御が有効であることを示す大規模な実験を行った。 0.76
Additionally, we built a new database using the camoutraffic attacked physical 90 of photos flage source six and signs contains that attack art future community. さらに,camoutraffic attackの物理的に攻撃された90枚の写真を用いて,新たなデータベースを構築した。 0.63
the in signs. This database may research benefit サインだ このデータベースは研究効果があるかもしれない 0.35
new defense result holds true 新防衛 結果は 本当 0.71
英語(論文から抽出)日本語訳スコア
Defenses Against Multi-Sticker Attacks マルチステッカー攻撃に対する防御 0.66
15 3. 4. 5. 15 3. 4. 5. 0.85
6. 7. 8. 9. 6. 7. 8. 9. 0.85
In: Advances In: Advances 0.85
in L., Ilyas, A., Kwok, K.: で L。 Ilyas, A., Kwok, K. 0.74
Synthesizing robust adversarial on machine 合成 頑丈 敵 マシン上で 0.67
learning classifiers. (2017) constraints. 学習 分類者 2017年)の制約。 0.58
References Engstrom, examples. Engstrom、例を参照。 0.81
Athalye, A., 1. arXiv:1707.07397 arXiv preprint Ioannou, Y., Lampropoulos, L., Vytiniotis, D., Nori, A., Criminisi, A.: Measur2. Athalye, A., 1. arXiv:1707.07397 arXiv preprint Ioannou, Y., Lampropoulos, L., Vytiniotis, D., Nori, A., Criminisi, A.: Measur2 0.98
Bastani, O., information robustness with net ing neural processing neural systems. bastani, o., information robustness with net ing neural processing neural systems (英語) 0.84
pp. 2613–2621 (2016) against a defense Bhagoji, A.N., Cullina, D., Mittal, P.: Dimensionality reduction as evasion arXiv:1704.02654 2 arXiv (2017) preprint attacks (2017) patch J.: Adversarial Brown, T.B., Mane, D., Roy, A., Abadi, M., Gilmer, evaluating the robustness of neural networks. pp. 2613–2621 (2016) against a Defense Bhagoji, A.N., Cullina, D., Mittal, P.: dimensionity reduction as evasion arXiv:1704.02654 2 arXiv (2017) preprint attack (2017) patch J.: Adversarial Brown, T.B., Mane, D., Roy, A., Abadi, M., Gilmer, 0.86
Carlini, N., Wagner, D.: Towards In: 2017 ieee pp. Carlini, N., Wagner, D.: Towards In: 2017 ieee pp。 0.90
symposium on security and IEEE (2017) 39–57. セキュリティとIEEE (2017) 39-57に関するシンポジウム。 0.65
privacy (sp). プライバシー(sp)。 0.60
J., Hsieh, C.J. J、Hsieh、C.J。 0.81
: Ead: neural to attacks Chen, P.Y., Sharma, Y., Zhang, H., Yi, deep elastic-net In: Thirty-second AAAI networks adversarial examples. The Ead: Neural to attack Chen, P.Y., Sharma, Y., Zhang, H., Yi, Deep Elastic-net In: Thir-second AAAI network againstversarial example。 0.87
on artificial intellivia conference gence (2018) Studor, C., Goldstein, Zhu, C., P.Y., Ni, R., Abdelkader, A., Chiang, defenses T.: Certified (2020) arXiv:2003.06693 preprint arXiv patches. on artificial intellivia conference gence (2018) Studor, C., Goldstein, Zhu, C., P.Y., Ni, R., Abdelkader, A., Chiang, Defenses T.: Certified (2020) arXiv:2003.06693 preprint arXiv patch。 0.97
adversarial for Shanbhogue, M., Chen, S., Chen, L., Kounavis, M.E., Chau, S.T., Hohman, Das, N., F., Li, jpeg Fast, and D.H.: Shield: practical defense vaccination for deep compreslearning using on Knowledge Proceedings sion. Shanbhogue, M., Chen, S., Chen, L., Kounavis, M.E., Chau, S.T., Hohman, Das, N., F., Li, jpeg Fast, D.H.: Shield: Knowledge Proceedings sionを用いたディープラーニングのための実用的な防御ワクチン。 0.92
In: of the 24th ACM SIGKDD International Conference pp. 第24回ACM SIGKDD国際会議に参加。 0.61
Discovery & Data Mining. 発見とデータマイニング。 0.67
(2018) 196–204 Dhillon, J., Kossaifi, Bernstein, A., Khanna, J., Z.C., G.S., Azizzadenesheli, K., Lipton, arXiv preprint adversarial defense. 2018) 196–204 Dhillon, J., Kossaifi, Bernstein, A., Khanna, J., Z.C., G.S., Azizzadenesheli, K., Lipton, arXiv preprint adversarial Defense。 0.94
robust activation pruning for Anandkumar, A.: Stochastic arXiv:1803.01442 (2018) Dziugaite, G.K., Ghahramani, Z., Roy, D.M. Anandkumar, A.: Stochastic arXiv:1803.01442 (2018) Dziugaite, G.K., Ghahramani, Z., Roy, D.M。 0.90
: A study of the jpg compression on arXiv:1608.00853 (2016) arXiv adversarial preprint images. : arXivのjpg圧縮に関する研究:1608.00853 (2016) arXiv逆転プリプリント画像。 0.86
I., Fernandes, E., Li, B., Rahmati, A., Xiao, C., Prakash, A., Kohno, T., Eykholt, K., Evtimov, learning physical-world Song, D.: Robust attacks In: Proceedclassification. I., Fernandes, E., Li, B., Rahmati, A., Xiao, C., Prakash, A., Kohno, T., Eykholt, K., Evtimov, Learning physical-world Song, D.: Robust attack In: Proceedclassificatio n。 0.89
visual Pattern Recognition. ings 1625–1634 and pp. 視覚パターン認識。 ings 1625–1634およびPP。 0.75
of the IEEE Conference (2018) from samples adversarial S., Gardner, A.B. S., Gardner, A.B.のサンプルによるIEEE Conference (2018)の開催。 0.81
: Detecting R.R., Curtin, R., Feinman, (2017) arXiv:1703.00410 artifacts. : R.R., Curtin, R., Feinman, (2017) arXiv:1703.00410アーティファクトの検出 0.81
arXiv preprint we Geiger, A., Lenz, P., Urtasun, driving? arXiv preprint 我々 Geiger, A., Lenz, P., Urtasun, driving? 0.84
the kitti vision Are autonomous ready benchmark suite. kitti visionは、自動準備のベンチマークスイートだ。 0.59
In: 2012 IEEE Conference on Computer Vision and Pattern Recognition. 2012年、IEEE Conference on Computer Vision and Pattern Recognition に参加。 0.79
IEEE (2012) 3354–3361. IEEE (2012) 3354–3361。 0.84
pp. examples. Explaining Shlens, Szegedy, C.: adversarial harnessing J., Goodfellow, I.J., arXiv preprint arXiv:1412.6572 (2014) Der Maaten, Guo, Rana, M., Cisse, M., Van L.: using C., arXiv:1711.00117 input transformations. pp. 例です Shlens, Szegedy, C.: adversarial harnessing J., Goodfellow, I.J., arXiv preprint arXiv:1412.6572 (2014) Der Maaten, Guo, Rana, M., Cisse, M., Van L.: using C., arXiv:1711.00117 input transformations 0.81
preprint arXiv Hayes, the J.: On visible adversarial perturbations & digital watermarking. Preprint arXiv Hayes, the J.: On visible adversarial perturbations and digital watermarking. (英語) 0.87
1597–1604 and Pattern Recognition Workshops. 1597–1604 パターン認識ワークショップ。 0.78
pp. on Computer Vision IEEE Conference (2018) and adversarial Karmon, D., Zoran, D., Goldberg, Y.: Lavan: Localized noise. pp. on Computer Vision IEEE Conference (2018) and adversarial Karmon, D., Zoran, D., Goldberg, Y.: Lavan: Localized noise。 0.86
arXiv preprint (2018) 2018 for examples Song, D.: Adversarial IEEE In: generative models. arXiv preprint (2018) 2018 for example Song, D.: Adversarial IEEE In: Generative model. 0.87
Kos, J., IEEE (2018) Security and Privacy Workshops pp. Kos, J., IEEE (2018) Security and Privacy Workshops pp。 0.83
(SPW). 36–42. (SPW)。 36–42. 0.73
S.: Adversarial Kurakin, A., Goodfellow, examples physical world. S.:Adversarial Kurakin、A.、Goodfellow、例の物理世界。 0.84
arXiv in I., Bengio, arXiv:1607.02533 preprint (2016) randomized smoothing for certifiable defense against patch attacks. arXiv in I., Bengio, arXiv:1607.02533 preprint (2016) パッチ攻撃に対する検証可能な防御のためのランダムなスムージング。 0.74
Levine, A., Feizi, S.: (de) arXiv preprint Levine, A., Feizi, S.: (de) arXiv preprint 0.91
deep on Computer Vision Shintre, R.: deep on computer vision shintre, r.: 0.86
images In: Proceedings of image In: Proceedings of 0.81
and Countering (2017) とカウンタリング(2017年) 0.39
arXiv:1801.02608 Fischer, arXiv:1801.02608 Fischer 0.63
I., arXiv:2002.10733 (2020) I。 arXiv:2002.10733 (2020) 0.68
17. 18. 19. 17. 18. 19. 0.85
20. 14. 15. 20. 14. 15. 0.85
16. adversarial 10. 11. 16. 敵 10. 11. 0.78
12. 13. visible 12. 13. 見える 0.78
the effect of はあ? 効果 ですから 0.53
on for オン ですから 0.60
英語(論文から抽出)日本語訳スコア
16 21. 22. 16 21. 22. 0.85
23. 24. 25. 23. 24. 25. 0.85
26. 27. 28. 26. 27. 28. 0.85
29. 30. 31. 29. 30. 31. 0.85
32. 33. 34. 32. 33. 34. 0.85
35. 36. 37. 35. 36. 37. 0.85
38. X. Zhao, M C. Stamm 38. X.Zhao, M C. Stamm 0.82
transferable (2016) transferable (複数形 transferables) 0.49
on and localized Y., オン 地域化され Y! 0.58
Chen, C., Delving チェン。 C。 掘り起こし 0.57
adversarial deep arXiv:1706.06083 敵の奥深く arXiv:1706.06083 0.52
preprint systems: Perspectives (2012) computer preprint systems: perspectives (2012) コンピュータ 0.84
to adversarial intelligent driver 敵の知的ドライバーに 0.65
D.: into Liu, Song, arXiv:1611.02770 arXiv preprint attacks. D.: Liu, Song, arXiv:1611.02770 arXiv プレプリント攻撃。 0.78
arXiv assistance and examples X., Liu, black-box attacks. arXiv 支援 例 X, Liu, Black-box 攻撃。 0.80
Madry, A., Makelov, A., Schmidt, L., Tsipras, D., Vladu, A.: Towards learning models resistant (2017) Mogelmose, A., Trivedi, M.M., Moeslund, T.B. Madry, A., Makelov, A., Schmidt, L., Tsipras, D., Vladu, A.: towardss learning model resistant (2017) Mogelmose, A., Trivedi, M.M., Moeslund, T.B. 0.95
: Vision-based traffic sign detection and analysis for and survey. 2)視覚に基づく交通標識の検出および分析および調査。 0.69
IEEE Transactions on Intelligent Transportation Systems 13(4), 1484–1497 Moosavi-Dezfooli, S.M., Fawzi, A., Fawzi, O., Frossard, P.: Universal perturbaadversarial the IEEE conference on Proceedings In: of tions. IEEE Transactions on Intelligent Transportation Systems 13(4), 1484–1497 Moosavi-Dezfooli, S.M., Fawzi, A., Fawzi, O., Frossard, P.: Universal perturbaadversarial the IEEE conference on Proceedings In: of tions。 0.96
and pattern recognition. vision 1765–1773 pp. パターン認識です ビジョン1765-1773 pp。 0.56
(2017) Fawzi, A., Frossard, S.M., Moosavi-Dezfooli, P.: Deepfool: A simple and accurate method IEEE In: The Pattern Vision networks. (2017) Fawzi, A., Frossard, S.M., Moosavi-Dezfooli, P.: Deepfool: IEEE In: The Pattern Vision Network のシンプルで正確な方法。 0.94
neural to Computer Conference deep fool 2016) Recognition (June gradients F.: Local adagainst smoothing: Defense Naseer, M., Khan, S., Porikli, on IEEE Winter Conference versarial attacks. neural to computer conference deep fool 2016) recognition ( june gradients f.: local adagainst smoothing: defense naseer, m., khan, s., porikli, on ieee winter conference versarial attacks (英語) 0.80
In: 2019 Applications of Computer Vision IEEE (2019) pp. In: 2019 Applications of Computer Vision IEEE (2019) pp。 0.83
(WACV). 1300–1307. (WACV)。 1300–1307. 0.73
J.: Deep neural networks J., Clune, Nguyen, A., Yosinski, easily fooled: High confidence are IEEE conference on computer images. j.: deep neural networks j., clune, nguyen, a., yosinski, easy fooled: high confidence is ieee conference on computer images (英語) 0.77
In: Proceedings of predictions for unrecognizable the (2015) pp. in: 未認識の (2015) pp. に対する予測の手続き。 0.82
vision and pattern recognition. 視覚およびパターン認識。 0.72
427–436 Papernot, N., McDaniel, P., Jha, S., Fredrikson, M., Celik, Z.B., Swami, A.: The limitations Symposium on of In: settings. 427–436 Papernot, N., McDaniel, P., Jha, S., Fredrikson, M., Celik, Z.B., Swami, A.: The limit Symposium on In: settings。 0.92
Security 2016 adversarial in learning deep European IEEE (2016) 372–387. security 2016 adversarial in learning deep european ieee (2016) 372-387。 0.81
pp. and Privacy (EuroS&P). pp. およびプライバシー(EuroS&P)。 0.75
to adversarPapernot, N., McDaniel, P., Wu, X., a defense Jha, S., Swami, A.: Distillation as IEEE Symposium on ial perturbations against deep neural networks. 敵対するPapernot, N., McDaniel, P., Wu, X., a Defense Jha, S., Swami, A.: Distillation as IEEE Symposium on ial perturbations against Deep neural Network. (英語) 0.89
In: Security and Privacy (SP). In: セキュリティとプライバシー(SP)。 0.75
pp. 582–597. pp. 582–597. 0.78
IEEE (2016) Raghunathan, A., J., Liang, examples. IEEE (2016) Raghunathan、A.、J.、Liang、例。 0.88
adversarial P.: Certified Steinhardt, preprint arXiv (2018) Selvaraju, R.R., Cogswell, M., Das, A., Vedantam, R., Parikh, D., Batra, D.: Grad-cam: Visual explanations IEEE Interna2017) (Oct tional Conference on Computer Vision (ICCV) E., Cloninger, A., Cheng, X., J., Yamada, Y., Weinberger, Shaham, U., Garritano, Stanton, transformations. adversarial P.: Certified Steinhardt, preprint arXiv (2018) Selvaraju, R.R., Cogswell, M., Das, A., Vedantam, R., Parikh, D., Batra, D.: Grad-cam: Visual descriptions IEEE Interna2017 (Oct tional Conference on Computer Vision (ICCV) E., Cloninger, A., Cheng, X., J., Yamada, Y., Weinberger, Shaham, U., Garritano, Stanton, transformations. 0.90
against functions basis using images adversarial K., Kluger, Y.: Defending arXiv:1803.10840 preprint arXiv (2018) deep fooling for attack neural Sakurai, K.: One J., Vargas, D.V., Su, pixel networks. 画像逆転K., Kluger, Y.: Defending arXiv:1803.10840 preprint arXiv (2018) Deep fooling for attack neural Sakurai, K.: One J., Vargas, D.V., Su, pixel network 0.84
IEEE on Evolutionary Computation 23(5), Transactions 828–841 (2019) I., Erhan, D., Goodfellow, C., Sutskever, Zaremba, W., R.: Fergus, I., J., Bruna, Szegedy, of Intriguing properties (2013) neural networks R., J., Urmson, C., Anhalt, Bagnell, D., Baker, C., Bittner, Clark, M., Dolan, J., Duggins, D., Galatali, T., Geyer, C., driving et the environments: Boss urban in al. IEEE on Evolutionary Computation 23(5), Transactions 828–841 (2019) I., Erhan, D., Goodfellow, C., Sutskever, Zaremba, W., R.: Fergus, I., J., Bruna, Szegedy, of Intriguing properties (2013) Neuro Network R., J., Urmson, C., Anhalt, Bagnell, D., Baker, C., Bittner, Clark, M., Dolan, J., Duggins, D., Galatali, T., Geyer, C., driving et the environment: Bos Urban in al. 0.85
: Autonomous of Field Robotics 25(8), urban challenge. フィールドロボティクス25(8)の自動運転、都市課題。 0.60
Journal 425–466 (2008) examples squeezing: Detecting adversarial in deep neural Xu, W., Evans, D., Qi, Y.: Feature arXiv preprint networks. Journal 425–466 (2008) では、ディープニューラルXu, W., Evans, D., Qi, Y.: Feature arXiv プリプリントネットワークにおける逆数を検出する。
訳抜け防止モード: 研究報告 425-466 (2008 ) example squeezing : 深部神経Xuにおける逆境の検出 W., Evans, D., Qi, Y. : Feature arXiv preprint network
0.86
arXiv:1704.01155 (2017) Xu, Z., Yu, F., Chen, X.: Lance: A comprehensive and lightweight cnn defense methodology applications on embedded multimedia adversarial physical against (2019) attacks J., Milford, M., Upcroft, B., Corke, reinvision-based P.: Towards Zhang, F., Leitner, robotic motion forcement learning for arXiv:1511.03791 arXiv preprint control. arxiv:1704.01155 (2017) xu, z., yu, f., chen, x.: lance: a comprehensive and lightweight cnn defense methodology applications on embedded multimedia adversarial physical against (2019) attacks j., milford, m., upcroft, b., corke, reinvision-based p.: toward zhang, f., leitner, robot motion forcement learning for arxiv:1511.03791 arxiv preprint control 0.76
arXiv:1801.09344 from deep networks via gradient-based localization. 深層ネットワークからのarxiv:1801.09344 0.48
2016 defenses against 2016年防衛 反対 0.67
and deep (2015) そして deep (複数形 deeps) 0.60
IEEE In: The IEEE 内: 0.68
                                 ページの最初に戻る

翻訳にはFugu-Machine Translatorを利用しています。