[論文レビュー] LaVAN: Localized and Visible Adversarial Noise
LaVAN は visible adversarial noise が画像の 2% パッチに confined されると、画像/場所を跨いで transfer し、Inception v3 を高い信頼度で欺くことを示す。主な対象物には触れない。
Most works on adversarial examples for deep-learning based image classifiers use noise that, while small, covers the entire image. We explore the case where the noise is allowed to be visible but confined to a small, localized patch of the image, without covering any of the main object(s) in the image. We show that it is possible to generate localized adversarial noises that cover only 2% of the pixels in the image, none of them over the main object, and that are transferable across images and locations, and successfully fool a state-of-the-art Inception v3 model with very high success rates.
研究の動機と目的
- 主対象物を覆わず、画像の小さな領域に局所化され可視である敵対ノイズを調査する。
- このようなノイズが画像と場所を跨いで高い有効性と転送性を持つことを示す。
- ネットワーク領域と画像領域のノイズ設定を比較し、モデルの弱点に対する含意を分析する。
提案手法
- 摂動を小さなパッチに制限するマスク m を用いた最適化として敵対ノイズを定式化する(x' = (1-m) ⊙ x + m ⊙ δ)。
- 事前ソフトマックス前の活性化 M(x) に基づき、ターゲットクラスへ向かせつつ最高スコアの元クラスからは離すという目的を持つ損失を用いる。
- 2つのノイズドメインを実装する:ネットワークドメイン(無制限)と画像ドメイン([0,1] にクリップ)。
- パッチサイズを画像ピクセルの最大 2% までの局在化戦略を開発し、299×299 の画像では通常 42×42、画像の角近くで。
- 共通のターゲットクラスへ向けた勾配ステップで更新しながら、同じパッチをランダムな画像/場所に反復的に適用して転送可能(ユニバーサル)な局所化ノイズへ拡張する。
実験結果
リサーチクエスチョン
- RQ1小さく、可視で局所化されたノイズパッチは、主対象物を覆うことなく画像を誤分類させることができるか。
- RQ2このような局所化ノイズは、画像ドメインとネットワークドメインの異なる画像や場所間で転送可能か。
- RQ3成功率と転送性の点で、ネットワークドメインと画像ドメインの設定はどのように比較されるか。
- RQ4これらの局所化摂動に対する勾配アトリビューションのパターンは何か(ネットワークはパッチを責めるのか)。
主な発見
- 主対象物に触れず、最大で画素の 2% を覆うパッチを用い、高い信頼度で誤分類させる局所化ネットワークドメインノイズが可能。
- 単一画像・単一場所の設定では、試した構成の 79% がターゲットの高信頼度誤分類に成功; より低いターゲット信頼度を許容した場合は 91%; ソースクラス以外のクラスへ 98% 誤分類。
- 転送可能な局所化ノイズは 14 のターゲットクラスに対して有効で、場所の約 83% 程度でターゲット信頼度 ≥0.9を達成し、場所の 97% でソースクラスを抑制。
- 画像ドメインの転送可能ノイズは効果は低いが使用可能で、ターゲット ≥0.9 を達成したのが 28.3%、トップターゲットとしては 74.1%、ソースを誤分類したのは 78.9%。
- 転写ノイズからのパッチを用いて画像をテストした場合、場所ごとにターゲットとソースの確率は変動したが、勾配ではパッチが顕著であることが多く、主要因とは見なされないことがあった。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。