Skip to main content
QUICK REVIEW

[論文レビュー] Fast Feature Fool: A data independent approach to universal adversarial perturbations

Konda Reddy Mopuri, Utsav Garg|ePrints@IISc (Indian Institute of Science)|Jul 18, 2017
Adversarial Robustness in Machine Learning参考文献 15被引用数 105
ひとこと要約

この論文は、CNNをアーキテクチャやデータセットを超えて誤認させるユニバーサル敵対摂動を生成するデータ非依存の手法を提案し、複数層で特徴を過度に飽和させることで転移性を実現し、ターゲットデータを使用せずに転移性を得る。

ABSTRACT

State-of-the-art object recognition Convolutional Neural Networks (CNNs) are shown to be fooled by image agnostic perturbations, called universal adversarial perturbations. It is also observed that these perturbations generalize across multiple networks trained on the same target data. However, these algorithms require training data on which the CNNs were trained and compute adversarial perturbations via complex optimization. The fooling performance of these approaches is directly proportional to the amount of available training data. This makes them unsuitable for practical attacks since its unreasonable for an attacker to have access to the training data. In this paper, for the first time, we propose a novel data independent approach to generate image agnostic perturbations for a range of CNNs trained for object recognition. We further show that these perturbations are transferable across multiple network architectures trained either on same or different data. In the absence of data, our method generates universal adversarial perturbations efficiently via fooling the features learned at multiple layers thereby causing CNNs to misclassify. Experiments demonstrate impressive fooling rates and surprising transferability for the proposed universal perturbations generated without any training data.

研究の動機と目的

  • データ依存性の問題に対処してユニバーサル摂動の頑健性を動機づける。
  • CNNの特徴を跨るデータ独立最適化を提案して、層を跨る特徴を欺く。
  • 摂動のアーキテクチャ横断およびデータ横断の転送性を示す。
  • データ依存アプローチと比べて速く収束することを示す。

提案手法

  • 畳み込み層を跨る多層の特徴活性化を最大化する摂動 delta を最適化する。
  • 損失を Loss = -log( product over i of l_i(delta) ), ここで l_i(delta) は層 i の ReLU 後の平均活性化。
  • 摂動のL8ノルム制約 ||delta||_8 < xi で知覚不可性を確保(実験では xi = 10)。
  • ネットワークパラメータを更新せず、トレーニングデータを使わずに勾配法(Adam)で delta を更新する。
  • 畳み込み層(および選択的な inception 層)の活性化を標的にして、誤分類を引き起こす摂動を作成する。
  • 最適化中に知覚不可性制約を維持するため、摂動を定期的にクリップ/リスケールする。

実験結果

リサーチクエスチョン

  • RQ1ターゲットデータにアクセスせずに作成された摂動は、ほとんどの入力に対してCNNを誤らせることができるか?
  • RQ2データ独立のユニバーサル摂動は、同じデータ分布または異なるデータ分布で訓練された異なるネットワークアーキテクチャ間で転送可能か?
  • RQ3同じアーキテクチャでもデータが異なるデータセット間でデータ独立摂動はどの程度転送性を示すか(データシフトを考慮して)?
  • RQ4データ独立アプローチは fooling rate と収束時間の点でデータ依存ユニバーサル摂動と比べてどうか?

主な発見

  • 本手法は、複数のネットワークを高確率で欺くことができるデータ独立ユニバーサル摂動を生成します。
  • 同じデータセットで訓練されたアーキテクチャ間で摂動は転送され、試験対象のネットワーク間の平均転送誤用率は約41%程度。
  • 異なるデータ分布で訓練されたネットワーク間でも顕著な効果を持つ転送性を示し、データ依存法を跨データ転送で凌駕する。
  • 小さなネットワークからの摂動で初期化すると、深いネットワークで測定可能な改善をもたらす。
  • データ独立手法の収束時間はデータ依存ユニバーサル摂動より著しく速く、数十秒程度 vs 千秒程度のオーダー。
  • 視覚的検査では、摂動済み画像は知覚上区別不能のまま誤認を引き起こす。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。