Skip to main content
QUICK REVIEW

[論文レビュー] Low Frequency Adversarial Perturbation

Chuan Guo, Jared S. Frank|arXiv (Cornell University)|Sep 24, 2018
Adversarial Robustness in Machine Learning参考文献 31被引用数 74
ひとこと要約

本論文は敵対的摂動を低周波サブスペース(LF-DCT)に制限することでブラックボックスのクエリコストを大幅に削減しつつ攻撃の効果を維持し、ImageNetで境界攻撃とNES攻撃で強力な結果を示し、いくつかの防御を回避する。

ABSTRACT

Adversarial images aim to change a target model's decision by minimally perturbing a target image. In the black-box setting, the absence of gradient information often renders this search problem costly in terms of query complexity. In this paper we propose to restrict the search for adversarial images to a low frequency domain. This approach is readily compatible with many existing black-box attack frameworks and consistently reduces their query cost by 2 to 4 times. Further, we can circumvent image transformation defenses even when both the model and the defense strategy are unknown. Finally, we demonstrate the efficacy of this technique by fooling the Google Cloud Vision platform with an unprecedented low number of model queries.

研究の動機と目的

  • 低周波領域において敵対的摂動が豊富であるという概念を動機づけ、形式化する。
  • 攻撃摂動を制約する低周波サブスペース(LF-DCT)を提案する。
  • LF-DCTがブラックボックス攻撃(Boundary Attack と NES)のクエリ効率を改善することを示す。
  • LF-DCTが画像変換防御を回避し、実世界の攻撃シナリオ(例:Google Cloud Vision)を達成できることを示す。
  • 低周波摂動のホワイトボックスおよびブラックボックスの影響を分析し、他の領域への一般化可能性について議論する。

提案手法

  • 画像をDCT周波数空間で表現し、左上の rd×rd係数によるLF-DCTサンプリングを定義する。
  • 切り詰められたDCT係数行列のIDCT(IDCT_r)により低周波ノイズをサンプルする。
  • 勾配をLF-DCT空間へ射影して低周波勾配ベースの攻撃を行う。
  • 既存のブラックボックス攻撃(Boundary AttackとNES)をLF-DCT摂動で動作するように変更(LF-BAとLF-NES)。
  • Hyperbandを用いて画像ごとに周波数比率rを適応的に選択する。
  • JPEG、ビット深度などの画像変換防御に対して頑健性を示し、Google Cloud Visionを攻撃する。

実験結果

リサーチクエスチョン

  • RQ1摂動を低周波サブスペースに制限することはブラックボックスの敵対的攻撃の効率を高めるか。
  • RQ2異なる画像に対して最適な低周波サブスペースサイズ(r)は何か、適応的選択は固定値より良い性能を発揮するか。
  • RQ3LF-DCT摂動は一般的な画像変換防御を回避し、実世界のプラットフォーム(例:Google Cloud Vision)で成功するか。
  • RQ4LF-DCTはホワイトボックス攻撃の最適化と、防御されたモデルへの転移性にどう影響するか。

主な発見

  • LF-DCTはImageNet(ResNet-50)の一般的なブラックボックス攻撃でクエリコストを2~4倍削減する。
  • 全空間の1/64への次元削減(r ≈ 1/8)は多くの場合でほぼ最適な敵対的摂動をもたらす。
  • LF-BAとLF-NESはRGB相当より優れ、中央値クエリ数を大幅に削減(LF-BA 約1128 対 RGB-BA 約4020; LF-NES 約12,444 対 RGB-NES 約22,389)。
  • 低周波摂動はJPEG圧縮やビット深度削減の防御を回避できる一方、高周波摂動はこれらの防御に対して苦戦する。
  • LF-BAは約1000クエリ程度でGoogle Cloud Visionを成功裏に攻撃でき、RGB-BAを上回っている。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。