QUICK REVIEW

[論文レビュー] Functional Adversarial Attacks

Cassidy Laidlaw, Soheil Feizi|arXiv (Cornell University)|May 29, 2019

Adversarial Robustness in Machine Learning参考文献 31被引用数 58

ひとこと要約

本論文は機能的敵対的脅威モデルを提案し、特に画像向けの ReColorAdv を紹介する。機能的脅威と加法的脅威を組み合わせると、いずれ単独の場合より強力な攻撃が生じることを示している。

ABSTRACT

We propose functional adversarial attacks, a novel class of threat models for crafting adversarial examples to fool machine learning models. Unlike a standard $\ell_p$-ball threat model, a functional adversarial threat model allows only a single function to be used to perturb input features to produce an adversarial example. For example, a functional adversarial attack applied on colors of an image can change all red pixels simultaneously to light red. Such global uniform changes in images can be less perceptible than perturbing pixels of the image individually. For simplicity, we refer to functional adversarial attacks on image colors as ReColorAdv, which is the main focus of our experiments. We show that functional threat models can be combined with existing additive ($\ell_p$) threat models to generate stronger threat models that allow both small, individual perturbations and large, uniform changes to an input. Moreover, we prove that such combinations encompass perturbations that would not be allowed in either constituent threat model. In practice, ReColorAdv can significantly reduce the accuracy of a ResNet-32 trained on CIFAR-10. Furthermore, to the best of our knowledge, combining ReColorAdv with other attacks leads to the strongest existing attack even after adversarial training. An implementation of ReColorAdv is available at https://github.com/cassidylaidlaw/ReColorAdv .

研究の動機と目的

機能的敵対的脅威モデルと呼ばれる新しい脅威モデルのクラスを提案する。
機能的脅威を加法的脅威と組み合わせて撹乱空間を拡張できることを示す。
色をグローバルに撹乱することで画像分類器を攻撃する実用的な実例として ReColorAdv を開発する。
知覚的影響を分析し、さまざまな防御下で既存の攻撃と比較する。
機能的敵対的攻撃に対する防御の推奨事項を提供する。

提案手法

撹乱を知覚できないようにする機能的脅威モデルと正則化スキームを定義する。
加法的脅威モデルと機能的脅威モデルを組み合わせると、単独のモデルでは得られない撹乱が生じることを証明する。
離散グリッドと三次線形補間を用いて、すべての画素カラーにパラメータ化された撹乱関数 f を適用する ReColorAdv を導入する。
ラグランジュ緩和と PGD 最適化を用いて、カラー空間特有の制約（diff および smooth）を課す。
CIFAR-10 の ResNet-32 および ImageNet の Inception-v4 に対して ReColorAdv を評価し、対抗訓練シナリオを含む。
攻撃力と知覚品質の観点から、RGB と知覚的に一様な CIELUV カラースペースを比較する。

実験結果

リサーチクエスチョン

RQ1機能的脅威モデルは、知覚できないが加法的脅威のみでは許されない撹乱を生み出すことができるだろうか。
RQ2機能的および加法的脅威モデルを組み合わせると、撹乱の超集合を作り出し、攻撃力を高めるだろうか。
RQ3防御ありモデルと防御なしモデルに対する ReColorAdv の有効性はどの程度か、またカラー空間の選択は結果に影響を与えるか。
RQ4対抗訓練後の敵対的頑健性に対する、ReColorAdv と他の攻撃の組み合わせの影響は何か。

主な発見

Attack	Defense	None	C-RGB	C	D	S	C+S	C+D	S+D
Undefended	92.2	5.9	3.0	0.0	0.9	0.8	0.0	0.0	0.0
C	88.7	43.5	45.8	5.7	3.6	3.4	0.9	0.2	0.2
D	84.8	74.9	50.6	30.6	16.0	11.7	8.9	2.7	2.2
S	82.7	16.9	8.0	0.5	26.2	4.8	0.0	0.1	0.0
C+S	89.5	31.7	23.0	0.7	10.9	8.7	0.5	0.6	0.4
C+D	88.5	36.3	19.5	7.5	2.7	2.8	5.2	4.1	4.6
S+D	82.1	66.9	42.7	35.4	21.9	13.4	12.2	7.6	4.1
C+S+D	88.9	30.6	17.2	7.3	3.5	3.3	5.5	3.7	3.6
TRADES	84.4	81.3	59.2	53.6	26.6	17.5	22.0	8.6	5.7

機能的脅威モデルは、特徴の依存性のため知覚できないまま大きく均一な撹乱を可能にする。
加法的脅威モデルと機能的脅威モデルを組み合わせると、いずれのモデル単独にも含まれない撹乱が得られる。
画像カラーに撹乱関数を適用する ReColorAdv は、CIFAR-10 の ResNet-32 の正答率を 3.0% に低下させ、他の攻撃と組み合わせた場合には対抗訓練後に 3.6% にまで低下させる。
CIELUV カラースペースは、RGB よりも強力で知覚的に目立たない ReColorAdv 撹乱をもたらし、攻撃力を強化する。
ReColorAdv を StAdv および delta 攻撃と組み合わせると、対抗訓練（TRADES）の下でも最も強い攻撃になることが多い。
グレースケール前処理は ReColorAdv に対して効果的な防御とはならず、自然精度と頑健精度を低下させる可能性がある。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。