Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Countering Adversarial Images using Input Transformations

Chuan Guo, Mayank Rana|arXiv (Cornell University)|Oct 31, 2017
Adversarial Robustness in Machine Learning参考文献 24被引用数 436
ひとこと要約

この論文は、入力変換(cropping/resizing、bit-depth reduction、JPEG、total variation minimization、そして image quilting)を用いて敵対的攻撃から画像分類器を守ることを調査し、TV minimizationと quiltingが特に効果的であることを示す。特にモデルが変換された画像で訓練されている場合に効果が高い。最強の防御はグレイボックスおよびブラックボックス攻撃の多数をブロックできる。

ABSTRACT

This paper investigates strategies that defend against adversarial-example attacks on image-classification systems by transforming the inputs before feeding them to the system. Specifically, we study applying image transformations such as bit-depth reduction, JPEG compression, total variance minimization, and image quilting before feeding the image to a convolutional network classifier. Our experiments on ImageNet show that total variance minimization and image quilting are very effective defenses in practice, in particular, when the network is trained on transformed images. The strength of those defenses lies in their non-differentiable nature and their inherent randomness, which makes it difficult for an adversary to circumvent the defenses. Our best defense eliminates 60% of strong gray-box and 90% of strong black-box attacks by a variety of major attack methods

研究の動機と目的

  • 入力変換によって敵対的摂動を除去し、頑健な画像分類を促進する。
  • 単純で微分不可能/ランダム化された変換をモデル非依存の防御として評価する。
  • ImageNetにおけるグレイボックスおよびブラックボックス攻撃設定での耐性を評価する。
  • 変換済み画像で分類器を訓練することが防御有効性に与える影響を検討する。

提案手法

  • 5つの画像変換を評価する: image cropping-rescaling、bit-depth reduction、JPEG compression、total variance minimization (TVM)、image quilting。
  • 防御戦略を知っている敵を妨害するよう、微分不可能なまたはランダム化された防御を用いる。
  • 変換を訓練時の変換と組み合わせて頑健性を向上させることを試し、グレイボックスおよびブラックボックス設定で評価する。
  • 攻撃には FGSM、Iterative FGSM、DeepFool、CW-L2 を含め、正規化L2距離で成功を評価する。
  • TVM については、分割 Bregman 法によって総変動と再構成誤差を最小化する凸最適化を解く。
  • image quilting は、クリーンパッチのデータベースからパッチを取り出して画像を構築し、敵対的摂動を攪乱する。

実験結果

リサーチクエスチョン

  • RQ1入力変換防御(cropping、bit-depth、JPEG、TVM、quilting)は ImageNet 上の敵対的摂動を抑制するのにどれほど有効か。
  • RQ2変換済み画像で分類器を訓練することはグレイボックスおよびブラックボックス攻撃の両方に対する頑健性を向上させるか。
  • RQ3これらの防御は異なる攻撃手法間でアンサンブル adversarial training と比較してどうか。
  • RQ4ランダム性と非微分性はこれらの防御の強さにどんな役割を果たすか。
  • RQ5変換の組み合わせ(およびモデル転移)は攻撃を受けるアーキテクチャ全体に均一な保護をもたらすか。

主な発見

  • Total variation minimization および image quilting は最も強力な防御であり、非微分可能でランダム化されており、敵対的摂動のかなりの部分を除去する。
  • グレイボックス試験では、最も強力な防御は強力なグレイボックス攻撃の約60%、主要な攻撃方法の強力なブラックボックス攻撃の約90%を排除した。
  • テスト時のランダムクロップを含むクロッピングは、変換された敵対的画像で40–60%の正解分類を生み出し、摂動に対する頑健性を示す。
  • 変換済み画像でネットワークを訓練すると防御効果が劇的に向上し、image quilting はいくつかの設定で強力な攻撃の80–90%を防ぐ。
  • Ensembling defensesとモデル転移は頑健性を1–3ポイント向上させる可能性があるが、最も大きな効果は TVM と quilting から得られ、特にモデルが変換データで訓練されている場合に顕著。
  • Ensemble adversarial training と比較して、入力変換防御は攻撃タイプ間で一般化が良く、特に gray-box 設定で iterative attacks(例:DeepFool)に対してより強い。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。