Skip to main content
QUICK REVIEW

[論文レビュー] Defending against Adversarial Images using Basis Functions Transformations

Uri Shaham, James Garritano|arXiv (Cornell University)|Mar 28, 2018
Adversarial Robustness in Machine Learning参考文献 20被引用数 45
ひとこと要約

この論文は、基底関数操作に基づく複数のテスト時防御(JPEG、DCT/ウェーブレット様の手法、PCA、ソフト閾値処理)をブラック-box、グレー-box、ホワイト-boxの敵対的攻撃に対して評価し、Filtered Gradient Attackと呼ばれる新しいホワイト-box攻撃を提案します。

ABSTRACT

We study the effectiveness of various approaches that defend against adversarial attacks on deep networks via manipulations based on basis function representations of images. Specifically, we experiment with low-pass filtering, PCA, JPEG compression, low resolution wavelet approximation, and soft-thresholding. We evaluate these defense techniques using three types of popular attacks in black, gray and white-box settings. Our results show JPEG compression tends to outperform the other tested defenses in most of the settings considered, in addition to soft-thresholding, which performs well in specific cases, and yields a more mild decrease in accuracy on benign examples. In addition, we also mathematically derive a novel white-box attack in which the adversarial perturbation is composed only of terms corresponding a to pre-determined subset of the basis functions, of which a "low frequency attack" is a special case.

研究の動機と目的

  • 敵対的摂動を緩和するために基底関数空間で動作する防御戦略の動機づけと評価。
  • ブラック-box、グレー-box、ホワイト-boxの脅威モデル全体で複数の事前処理防御の性能を比較。
  • 良性画像に対する精度を保ちつつ敵対的成功率を低減させる防御の特定。
  • 特定の基底関数のサブセットのみをターゲットにする新しいホワイト-box攻撃(Filtered Gradient Attack)を提供。

提案手法

  • 各防御を良性画像と敵対的画像に対するテスト時プリプロセシングとして適用。
  • FGSM、I-FGSM、C&W攻撃の下で防御を評価。
  • 低通フーリエフィルタリング、PCA(画像ごとおよびパッチごと)、ウェーブレット近似、ソフト閾値処理、JPEG圧縮を使用。
  • Filtered Gradient Attack(FGA)を提案・形式化し、ホワイト-box設定内でBackward Pass Differentiable Approximation(BPDA)を議論。

実験結果

リサーチクエスチョン

  • RQ1ブラック-box、グレー-box、ホワイト-box設定全体で、基底関数ベースの事前処理防御のうち敵対的摂動を最も効果的に緩和するものはどれか。
  • RQ2これらの防御は、良性画像に対する精度と敵対的事例に対するロバストネスのトレードオフでどうなるか。
  • RQ3事前に定めた基底関数のサブセットに摂動を制限する新しいホワイト-box攻撃の影響は何か。
  • RQ4JPEG圧縮は脅威モデル全般で他の基底ベース防御を一貫して上回るのか。

主な発見

  • JPEG圧縮は、ブラック-boxおよびグレー-box設定、および検討された2つのホワイト-boxスキームで一般的に他の防御より優れている。
  • ソフト閾値処理は特定の場合で強力な防御を提供し、良性画像の精度低下は穏やか。
  • ウェーブレットベースの手法(レベル-1近似とソフト閾値処理)は、他のいくつかの選択肢よりも良性精度のペナルティが小さい。
  • 低パスフィルタリングやPCAベースの去ノイズなど、敵対的攻撃に対して効果が弱いまたは混在することを示す他の手法。
  • 新規のホワイト-box攻撃、Filtered Gradient Attackは保持された基底関数のみを標的とし、低周波数または他の選択されたサブセットに整列した攻撃を可能にする。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。