Verbesserung der Robustheit der Gesichtslandmarkendetektion durch den Schutz vor adversarialen Angriffen

Viele jüngste Entwicklungen im Bereich der Gesichtslandmarkendetektion wurden durch das Stapeln von Modellparametern oder die Erweiterung von Annotationen angetrieben. Dennoch bestehen drei nachfolgende Herausforderungen: 1) ein Anstieg des Rechenaufwands, 2) das Risiko von Überanpassung infolge wachsender Modellparameter und 3) die Belastung durch arbeitsintensive menschliche Annotationen. Wir argumentieren, dass die Erforschung der Schwächen des Detektors, um diese zu beheben, ein vielversprechender Ansatz für eine robuste Gesichtslandmarkendetektion darstellt. Um dies zu erreichen, schlagen wir einen sample-adaptiven adversarial training (SAAT)-Ansatz vor, der einen Angreifer und einen Detektor interaktiv optimiert und somit die Gesichtslandmarkendetektion als Verteidigung gegen sample-adaptive black-box-Angriffe verbessert. Durch die Nutzung adversarialer Angriffe ermöglicht der vorgeschlagene SAAT-Ansatz die Ausnutzung adversarialer Störungen jenseits handgezeichneter Transformationen zur Verbesserung des Detektors. Konkret generiert ein Angreifer adversariale Störungen, um die Schwächen des Detektors zu offenbaren. Anschließend muss der Detektor seine Robustheit gegenüber solchen Störungen verbessern, um sich gegen adversariale Angriffe zu verteidigen. Zudem wurde ein sample-adaptiver Gewichtungsansatz entwickelt, um das Risiko und den Nutzen der Erweiterung mit adversarialen Beispielen zur Trainingszeit des Detektors abzustimmen. Außerdem führen wir eine neue Datenbank für maskierte Gesichtsausrichtung, die Masked-300W-Datenbank, ein, um unsere Methode zu evaluieren. Experimente zeigen, dass unser SAAT-Verfahren mit bestehenden state-of-the-art-Methoden vergleichbare Ergebnisse erzielt. Die Datenbank und das Modell sind öffentlich unter https://github.com/zhuccly/SAAT verfügbar.