Skip to main content
QUICK REVIEW

[論文レビュー] Big but Imperceptible Adversarial Perturbations via Semantic Manipulation.

Anand Bhattad, Min Jin Chong|arXiv (Cornell University)|Apr 12, 2019
Adversarial Robustness in Machine Learning参考文献 20被引用数 21
ひとこと要約

本論文は、摂取量に制限を設けないまま、色とテクスチャといった意味的画像特徴を操作する、画期的な敵対的摂動のクラスを提案している。従来の$$\mathcal{L}_p$$-有界攻撃とは異なり、これらの意味的摂動は人間にとって見えにくく、ImageNet や MSCOCO において JPEG 圧縮、特徴圧縮、敵対的訓練を施したモデルといった一般的な防御を効果的に回避する。

ABSTRACT

Machine learning models, especially deep neural networks (DNNs), have been shown to be vulnerable against adversarial examples which are carefully crafted samples with a small magnitude of the perturbation. Such adversarial perturbations are usually restricted by bounding their $\mathcal{L}_p$ norm such that they are imperceptible, and thus many current defenses can exploit this property to reduce their adversarial impact. In this paper, we instead introduce unrestricted perturbations that manipulate semantically meaningful image-based visual descriptors - color and texture - in order to generate effective and photorealistic adversarial examples. We show that these semantically aware perturbations are effective against JPEG compression, feature squeezing and adversarially trained model. We also show that the proposed methods can effectively be applied to both image classification and image captioning tasks on complex datasets such as ImageNet and MSCOCO. In addition, we conduct comprehensive user studies to show that our generated semantic adversarial examples are photorealistic to humans despite large magnitude perturbations when compared to other attacks.

研究の動機と目的

  • 現在の敵対的攻撃が小さな$$\mathcal{L}_p$$-有界摂動に依存しているという制限に対処すること。このような摂動は、その小さな大きさを利用した防衛に対して脆弱である。
  • 色やテクスチャといった意味的に意味のある画像記述子を操作することで、大きさは大きくても人間には見えにくい敵対的例を生成できるかどうかを検討すること。
  • JPEG 圧縮、特徴圧縮、敵対的訓練といった強力な防衛策に対して効果的な、写真のようにリアルな敵対的例を生成する手法を開発すること。
  • ImageNet や MSCOCO のような複雑なデータセットにおいて、画像分類や画像キャプション生成といった多様なタスクにわたり、意味的摂動の有効性を評価すること。
  • ユーザースタディを通じて人間の知覚的類似性を検証し、大規模な摂動であっても視覚的に自然で現実的であることを示すこと。

提案手法

  • 本手法は、生のピクセル空間ではなく、意味的画像記述子(特に色とテクスチャ)の空間で摂動を最適化することで敵対的攻撃を定式化する。
  • 微分可能画像変換パイプラインを用い、写真的リアリズムを保ちつつ、モデルの誤分類を最大化するように色ヒストグラムとテクスチャパターンを操作する。
  • 攻撃フレームワークは、ターゲットモデルにおける交差エントロピー損失を最大化するように設計されており、同時に知覚的類似性指標を用いて摂動が意味的に妥当であることを制約する。
  • このアプローチは、画像分類および画像キャプションモデルの両方に対してエンドツーエンドに適用され、モデルやデータセットをまたいで転送性を実現する。
  • 知覚的類似性を評価するためにユーザースタディを実施し、元の画像と摂動を加えた画像の間で人間の判断を比較して、リアリズムと見えにくさを評価する。
  • JPEG 圧縮(さまざまな品質設定)、特徴圧縮(空間的および色の前処理を用いて)、敵対的訓練を施したモデルといった防衛策に対して評価を実施する。

実験結果

リサーチクエスチョン

  • RQ1色やテクスチャといった意味的属性を操作する大規模な敵対的摂動は、人間にとって見えにくく保てるのか?
  • RQ2JPEG 圧縮や特徴圧縮といった強力な防衛策に対して、意味的敵対的摂動はどの程度効果的か?
  • RQ3意味的摂動は、画像分類や画像キャプションといった異なるモデルやタスク間でどの程度転送可能か?
  • RQ4人間の知覚的リアリズムとモデル回避能力の観点から、意味的摂動は標準的な$$\mathcal{L}_p$-有界攻撃と比べてどう異なるか?
  • RQ5意味的操作によって、通常の敵対的摂動の境界を超えるほど大きな摂動であっても、高い写真的リアリズムを維持できる敵対的例を生成できるか?

主な発見

  • 提案された意味的敵対的摂動は、敵対的防衛技術を用いて訓練された標準的・強力なモデルに対しても高い攻撃成功率を達成した。
  • JPEG 圧縮や特徴圧縮といった一般的な前処理防衛に対して、依然として有効であることが示され、耐性があることが確認された。
  • ユーザースタディの結果、大規模な摂動であっても生成された敵対的例は人間の観察者にとって写真のようにリアルで、元の画像と区別がつかないことが確認された。
  • 本手法はモデルやタスクをまたいで強い転送性を示し、ImageNet および MSCOCO データセットにおいて、画像分類および画像キャプション生成の両タスクで有効であった。
  • 一般的な防衛機構の下で評価したところ、標準的な$$\mathcal{L}_p$-有界攻撃よりもはるかに耐性が高かった。
  • 色とテクスチャの意味的操作により、非常に効果的で視覚的に自然な敵対的例が生成可能であり、見えにくさには小さな摂動が必要であるという仮定に疑問を呈するものとなった。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。