Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] AdvHaze: Adversarial Haze Attack

Ruijun Gao, Qing Guo|arXiv (Cornell University)|Apr 28, 2021
Adversarial Robustness in Machine Learning参考文献 27被引用数 25
ひとこと要約

AdvHaze は大気散乱を通じて敵対的霧を合成し、DNN画像分類器を誤認させる。ノイズベースのベースラインと比較して競争力のある成功と転移性を示しつつ、画像品質を維持する。

ABSTRACT

In recent years, adversarial attacks have drawn more attention for their value on evaluating and improving the robustness of machine learning models, especially, neural network models. However, previous attack methods have mainly focused on applying some $l^p$ norm-bounded noise perturbations. In this paper, we instead introduce a novel adversarial attack method based on haze, which is a common phenomenon in real-world scenery. Our method can synthesize potentially adversarial haze into an image based on the atmospheric scattering model with high realisticity and mislead classifiers to predict an incorrect class. We launch experiments on two popular datasets, i.e., ImageNet and NIPS~2017. We demonstrate that the proposed method achieves a high success rate, and holds better transferability across different classification models than the baselines. We also visualize the correlation matrices, which inspire us to jointly apply different perturbations to improve the success rate of the attack. We hope this work can boost the development of non-noise-based adversarial attacks and help evaluate and improve the robustness of DNNs.

研究の動機と目的

  • 現実世界の霧の現象を活用してノイズベース以外の敵対的攻撃を動機づける。
  • 現実的な霧状ビジュアルを維持しつつ、画像分類器を欺く霧ベース攻撃モデルを開発する。
  • 提案された攻撃を大規模データセット上の強力なベースラインと比較評価し、転移性と画像品質を評価する。
  • 非ノイズベースとノイズベースの攻撃の相関分析を通じて関係性を探る。

提案手法

  • 大気散乱方程式 H(x)=I(x)t(x)+A(x)(1−t(x)) を用いて霧を合成し、t(x)=exp(−β(x)d(x))。
  • 分類損失 J を L∞-ノルム摂動制約の下で最大化するよう A および散乱 β を最適化して敵対的霧を導入する。
  • 2つのバリアントを提案する:画像全体で一定の A および β を用いる均一 AdvHaze(HAdvHaze)と、空間的に変化する A および β を低域フィルタで平滑化した不均一 AdvHaze(IAdvHaze)。
  • 深度推定 D(I)(MiDaS)を用いて深度 d を計算し、haze_D(I,A,β) によって霧のかかった画像をレンダリングする。
  • A0=0.9、β0=0.1、ステップサイズ 0.01、反復回数 n=10 の MI-FGSM 風の勾配降下法(符号更新)を用いて最適化を行う。
  • ImageNet と NIPS 2017 に対して FGSM、I-FGSM、MI-FGSM、TI-MI-FGSM、cAdv のベースラインと比較し、成功率と NIQE 画像品質指標で評価する。

実験結果

リサーチクエスチョン

  • RQ1大気散乱を用いて合成された敵対的霧は、複数の DNN アーキテクチャに対して誤分類を効果的に引き起こすか。
  • RQ2不均一な霧の摂動は均一な霧や従来のノイズベース攻撃より転移性が高いか。
  • RQ3霧ベースの攻撃はノイズベースの攻撃と比較して視覚的品質においてどうかついて、自然に見えるか。
  • RQ4非ノイズベースとノイズベースの攻撃の成功画像の重複(相関分析)の観点で関係性はどうか。

主な発見

  • IAdvHaze はほとんどのターゲットモデルに対して ImageNet および NIPS 2017 で白箱攻撃の成功率が非常に高く、HAdvHaze を上回り、ノイズベースのベースラインとも競合的である。
  • IAdvHaze は他モデルへの転移性を、いくつかのベースラインより同等かそれ以上に発揮し、特に NIPS 2017 データセットで顕著である。
  • HAdvHaze はパラメータ化が制限されている(グローバルスカラーが2つのみ)ため総じて性能が劣る一方、IAdvHaze は NIQE スコアから見て多くのベースラインと比較して画像品質を維持またはそれ以下で、品質が高い。
  • NIQE に基づく評価では、提案する IAdvHaze は FGSM や MI-FGSM のようなノイズ支配の攻撃より視覚品質が良好であることが多いが、TI-MI-FGSM が局所的なノイズを導入して perceptible な領域ノイズを生む例もある。
  • 相関分析は、非ノイズベースの攻撃(cAdv、HAdvHaze、IAdvHaze)がノイズベースの攻撃と異なる画像サブセットをカバーすることを示唆しており、摂動タイプの組み合わせによる潜在的な利点を示唆している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。