Skip to main content
QUICK REVIEW

[論文レビュー] Efficient Certified Defenses Against Patch Attacks on Image Classifiers

Jan Hendrik Metzen, Maksym Yatsura|arXiv (Cornell University)|Feb 8, 2021
Adversarial Robustness in Machine Learning参考文献 36被引用数 23
ひとこと要約

BagCertは、小さな受容 field を持つCNNとマージンベースの損失関数を用いて、敵対的パッチ攻撃に対して効率的でエンド・ツー・エンドの認証可能防御を提案する。CIFAR-10において5×5パッチ攻撃に対して86%のクリーン精度と60%の認証可能精度を達成し、1枚のGPUで10,000枚のテスト画像を43秒で認証する。

ABSTRACT

Adversarial patches pose a realistic threat model for physical world attacks on autonomous systems via their perception component. Autonomous systems in safety-critical domains such as automated driving should thus contain a fail-safe fallback component that combines certifiable robustness against patches with efficient inference while maintaining high performance on clean inputs. We propose BagCert, a novel combination of model architecture and certification procedure that allows efficient certification. We derive a loss that enables end-to-end optimization of certified robustness against patches of different sizes and locations. On CIFAR10, BagCert certifies 10.000 examples in 43 seconds on a single GPU and obtains 86% clean and 60% certified accuracy against 5x5 patches.

研究の動機と目的

  • 自律走行車両などの安全が求められるシステムにおいて、物理的に実現可能なパッチ攻撃に対する認証可能なロバスト性の必要性に対応する。
  • 既存の認証可能防御が低い認証可能精度、低いクリーン精度、または高い推論コストを抱えるという限界を克服する。
  • 後処理によるキャリブレーションを必要とせず、認証可能なロバスト性を直接最適化するエンド・ツー・エンドの学習を可能にする。
  • 複数回の順伝播やアンサンブルを避けるために、単一の順伝播で効率的な推論を実現する小さな受容 field を活用する。

提案手法

  • 3つの認証条件を提案し、そのうちの1つは、先行研究よりも約3ポイントの認証可能精度向上を実現する改良版である。
  • 均一に分布するパッチサイズ、位置、アスペクト比に対して認証可能なロバスト性を直接最適化するマージンベースの損失関数を導出する。
  • 非常に小さな受容 field(例:5×5から13×13)を持つモデルアーキテクチャを設計し、入力全体に対して単一の順伝播で効率的な推論を可能にする。
  • BagNets や PatchGuard と同様に、小さな領域からの局所的予測の多数決を用いて画像を分類するが、完全なエンド・ツー・エンドの学習を実現する。
  • 脅威モデル内でのすべての可能なパッチ配置およびサイズに対して、認証条件を適用してロバスト性を検証する。
  • 損失関数を学習プロセスに統合し、モデルがクリーン精度だけでなく認証可能なロバスト性に対しても最適化されることを保証する。

実験結果

リサーチクエスチョン

  • RQ1エンド・ツー・エンドの学習により、パッチ攻撃に対して高い認証可能精度とクリーン精度を維持しながら、効率的な推論を実現できる認証可能防御は可能か?
  • RQ2改善された認証条件は、広範な適用性を損なわず、既存の条件よりも認証可能精度を上回るか?
  • RQ3小さな受容 field を持つ1つのモデルが、再トレーニングを必要とせずに、多様なパッチサイズ、アスペクト比、位置に対してロバスト性を達成できるか?
  • RQ4提案手法の推論効率は、Derandomized Smoothing や IBP などの既存の認証可能防御と比較してどの程度優れているか?
  • RQ5モデルの性能は、正方形でないパッチを含むさまざまなパッチ形状やサイズにどの程度一般化するか?

主な発見

  • BagCertは、CIFAR-10において5×5の敵対的パッチ攻撃に対して86%のクリーン精度と60%の認証可能精度を達成し、先行研究の認証可能防御を大きく上回る。
  • 1枚のTesla V100 GPUで、CIFAR-10の全10,000枚のテスト画像をたった43.2秒で認証し、Derandomized Smoothing(788秒)や他のベースラインを上回る。
  • 認証条件3.2を用いることで、推論時間やクリーン精度に影響を与えることなく、認証可能精度が約3ポイント向上する。
  • BagCertは、24ピクセルの非正方形パッチの全アスペクト比において、40%以上の高い認証可能精度を維持するが、カラムスムージングを用いたDerandomized Smoothingは縦長のパッチでは失敗する。
  • ImageNetでは、17×17の受容 field を用いた条件3.3で18.9%の認証可能精度、条件3.2で22.9%の認証可能精度を達成し、より大きなデータセットへのスケーラビリティを示す。
  • 7×7の受容 field とマージンM=0.5を用いたモデルは、10×10までの全テストパッチサイズでほぼ最適な性能を達成し、1つの設定で広範なロバスト性を示す。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。