Skip to main content
QUICK REVIEW

[論文レビュー] Accurate and Robust Neural Networks for Security Related Applications Exampled by Face Morphing Attacks

Clemens Seibold, Wojciech Samek|arXiv (Cornell University)|Jun 11, 2018
Adversarial Robustness in Machine Learning参考文献 25被引用数 24
ひとこと要約

本稿では、顔の合成攻撃および敵対的摂動に対して耐性を持つ深層ニューラルネットワークの学習を、修正された訓練データ(具体的には部分的合成と多クラス事前学習)を用いて提案する。訓練データを偽の顔の一部のみにすることで、モデルは微細なアーティファクトを学習し、顔の領域全体にわたり特徴レベルでの意思決定が向上する。その結果、高い精度とセマンティック的・ブラックボックス攻撃に対する耐性を併せ持つネットワークが得られ、層別重要度伝播(LRP)により解釈可能性が向上する。

ABSTRACT

Artificial neural networks tend to learn only what they need for a task. A manipulation of the training data can counter this phenomenon. In this paper, we study the effect of different alterations of the training data, which limit the amount and position of information that is available for the decision making. We analyze the accuracy and robustness against semantic and black box attacks on the networks that were trained on different training data modifications for the particular example of morphing attacks. A morphing attack is an attack on a biometric facial recognition system where the system is fooled to match two different individuals with the same synthetic face image. Such a synthetic image can be created by aligning and blending images of the two individuals that should be matched with this image.

研究の動機と目的

  • 訓練データを変更することで、特に顔の合成攻撃検出というセキュリティが重要な応用分野におけるニューラルネットワークの精度と耐性に与える影響を調査すること。
  • 特定の顔領域(例:目、鼻、口)のみを改ざんした部分的合成データで学習させた場合、モデルの一般化性能および敵対的攻撃に対する耐性に与える影響を評価すること。
  • 層別重要度伝播(LRP)を用いて意思決定プロセスを分析することで、モデルの解釈性を向上させること。
  • セマンティック的およびブラックボックス攻撃に対して耐性があり、高精度かつ解釈可能なニューラルネットワークを、合成検出に向け開発すること。
  • 多クラス事前学習が、顔の特徴における領域間比較を可能にすることで、精度と耐性のバランスを取る可能性があるかどうかを検討すること。

提案手法

  • VGG19ベースの畳み込みニューラルネットワークを、独自に作成した本物の顔と合成顔のデータセット上で学習させた。訓練データのバリエーションとして、完全な合成顔、部分的合成顔(目、鼻、口を個別に改ざん)、多クラス事前学習を用いた。
  • 顔のランドマークアライメントとアルファブレンドを用いた完全自動の合成パイプラインを実装し、訓練および評価用の合成顔画像を生成した。
  • 層別重要度伝播(LRP)を適用して、入力画像の領域が最終予測に与える寄与度を可視化・解釈し、意思決定メカニズムの分析を可能にした。
  • 2種類の攻撃に対して耐性を評価した:セマンティック攻撃(最小限で現実的である摂動)とブラックボックス攻撃(クエリベースで代替モデルを用いて敵対的例を生成)。
  • 異なるデータ拡張戦略を用いて学習したモデルを比較するため、精度指標と敵対的攻撃の成功率を併用した。
  • 多クラス事前学習戦略を採用し、顔の各領域(目、鼻、口)を別々のクラスとして扱うことにより、ネットワークが領域間で特徴を区別して学習するよう促進した。

実験結果

リサーチクエスチョン

  • RQ1部分的合成顔(特定の顔領域のみが改ざんされたもの)で学習させた場合、敵対的攻撃に対するニューラルネットワークの耐性にどのような影響を与えるか?
  • RQ2意思決定に必要な情報量を制限するように訓練データを変更した場合、モデルの精度と耐性の関係はどのように変化するか?
  • RQ3異なる訓練データの変更が、層別重要度伝播によって明らかにされるモデルの解釈性および特徴レベルでの注目度に与える影響は何か?
  • RQ4顔の領域を別々のクラスとして扱う多クラス事前学習は、合成検出における精度と耐性の両方を向上させられるか?
  • RQ5完全な合成顔で学習したモデルと比較して、部分的合成顔で学習したモデルは、顔のわずかな領域のみが改ざんされた場合に、どの程度の精度で合成攻撃を検出できるか?

主な発見

  • 部分的合成顔で学習させたモデルは、完全な合成顔で学習したモデルと比較して、特に完全に改ざんされていない領域(例:目、鼻、口)に対して顕著に耐性が向上した。
  • 完全な合成顔と本物の画像のみで学習したナイーブなモデルは、特に鼻や口の領域において、特徴表現が弱いため、部分的合成顔に対して耐性が低く、顕著に劣化した。
  • 層別重要度伝播(LRP)の結果、ナイーブなモデルは目だけに過剰に注目しており、鼻や口の領域における合成アーティファクトの検出が一貫せず、不整合が生じた。
  • 多クラス事前学習アプローチにより、顔の領域間の構造的整合性に基づいて重要度が分散されるため、モデル全体の耐性と精度が向上した。
  • 多クラスモデルでは、改ざんされていない領域の重要度が、改ざんされた領域の重要度の欠如から推定可能であることが示され、単純な学習設定とは異なり、比較に基づく意思決定メカニズムが存在することが明らかになった。
  • 耐性が向上した反面、初期段階ではナイーブモデルより精度が低かったが、性能と耐性のバランスを取る複雑な事前学習戦略により、この問題は解決された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。