Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Minimally distorted Adversarial Examples with a Fast Adaptive Boundary Attack

Francesco Croce, Matthias Hein|arXiv (Cornell University)|Jul 3, 2019
Adversarial Robustness in Machine Learning参考文献 29被引用数 121
ひとこと要約

FAB-attackを紹介する白-box手法で、l1, l2, そして linfノルムにおいて最小の歪みを持つ敵対的例を効率的に見つけ、スケーリング不変性と勾配マスキングに対する強い頑健性を持つ。

ABSTRACT

The evaluation of robustness against adversarial manipulation of neural networks-based classifiers is mainly tested with empirical attacks as methods for the exact computation, even when available, do not scale to large networks. We propose in this paper a new white-box adversarial attack wrt the $l_p$-norms for $p \in \{1,2,\infty\}$ aiming at finding the minimal perturbation necessary to change the class of a given input. It has an intuitive geometric meaning, yields quickly high quality results, minimizes the size of the perturbation (so that it returns the robust accuracy at every threshold with a single run). It performs better or similar to state-of-the-art attacks which are partially specialized to one $l_p$-norm, and is robust to the phenomenon of gradient masking.

研究の動機と目的

  • 最小の摂動を用いた敵対的摂動に対する分類器の頑健性評価を強く動機づける。
  • p in {1,2,∞} にわたる最小の l_p ノルム摂動を与える白箱攻撃を開発する。
  • ほぼそのまま使える、拡張性のある攻撃を提供し、過度なハイパーパラメータの調整を回避する。
  • 他の攻撃に共通する勾配マスキングやスケーリングの問題に対して攻撃の頑健性を確保する。

提案手法

  • l_pノルムとボックス制約に関して最小の敵対的摂動を定義する。
  • 決定ハイパープレーンとボックス(C)の交叉への射影を用いて、正確な p-ノルム射影(proj_p)を計算する。
  • 方程式(10)に従い、目標ハイパープレーン(pi_s)上の射影(x(i))と元の入力(x_orig)の凸結合によって、繰り返し元の入力に向けたステップのバイアスを行う。
  • 意思決定ハイパープレーンからの相対距離に基づいて適応的なステップバイアスαを計算する(式9)
  • 外挿ステップ(η)を組み込み、摂動サイズを絞る最終探索を行う(式12-13)。
  • 結果を改善するために、複数の開始点を探索するランダムリスタートを任意で適用する。

実験結果

リサーチクエスチョン

  • RQ1データセットごとのチューニングを必要とせず、単一のスケーラブルな white-box 攻撃で l1, l2, および linf ノルム全体で最小の敵対的摂動を達成できるか?
  • RQ2ボックス制約を持つハイパープレーンへの射影と元の入力へ向けたステップのバイアス付けが、異なるネットワークと防御において攻撃の成功を維持しつつ、より小さな摂動を生み出すか?
  • RQ3FAB-attack は勾配マスキングと分類器のスケーリングに対して頑健か?
  • RQ4複数のノルムの下で、FABと最先端の攻撃を MNIST、CIFAR-10、Restricted ImageNet で比較した場合の実証的性能はどうか?

主な発見

  • FAB-attack は MNIST および CIFAR-10 において、l1、l2、および linf ノルムのいずれでも最先端の攻撃を上回るか、同等であることが多い。
  • FAB-attack は勾配マスキング下でも有効であり、分類器のスケーリングに不変である。PGDとは異なる。
  • 控えめなリスタートで、ハイパーパラメータを少なく、ステップサイズの調整なしに高品質な敵対的例を達成する。
  • Restricted ImageNet では、l1 において最良の結果を、linf および l2 に対しては競合力のある結果を、強力なベースラインと比較して得る。
  • FAB-attack は競合相手よりも少ない反復回数で競争力のある、またはより良い頑健性指標を達成することが多く、低予算版(FAB-10)も依然として高性能である。
  • ノルムを問わず、FAB は一般に最良またはほぼ最高の平均頑健精度と、最良の攻撃との差の平均/最大が小さい。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。