Skip to main content
QUICK REVIEW

[論文レビュー] Quantifying Perceptual Distortion of Adversarial Examples

Matt Jordan, Naren Sarayu Manoj|arXiv (Cornell University)|Feb 21, 2019
Adversarial Robustness in Machine Learning参考文献 21被引用数 31
ひとこと要約

本稿では、$δ$-加法的およびフローベースの摂動を比較することで、敵対的例の形式的分析を提示している。両者の脅威モデルを組み合わせることで、単独では達成できない敵対的例の生成が可能であることを示している。主な貢献は、局所的な画像領域が加法的攻撃では低コントラストで、フローベース攻撃では高コントラストである場合、組み合わせ攻撃空間が著しく拡大され、より強力で多様な敵対的例が生成可能になるという理論的証明である。

ABSTRACT

Recent work has shown that additive threat models, which only permit the addition of bounded noise to the pixels of an image, are insufficient for fully capturing the space of imperceivable adversarial examples. For example, small rotations and spatial transformations can fool classifiers, remain imperceivable to humans, but have large additive distance from the original images. In this work, we leverage quantitative perceptual metrics like LPIPS and SSIM to define a novel threat model for adversarial attacks. To demonstrate the value of quantifying the perceptual distortion of adversarial examples, we present and employ a unifying framework fusing different attack styles. We first prove that our framework results in images that are unattainable by attack styles in isolation. We then perform adversarial training using attacks generated by our framework to demonstrate that networks are only robust to classes of adversarial perturbations they have been trained against, and combination attacks are stronger than any of their individual components. Finally, we experimentally demonstrate that our combined attacks retain the same perceptual distortion but induce far higher misclassification rates when compared against individual attacks.

研究の動機と目的

  • 「$δ$-加法的およびフローベースの敵対的摂動の間の知覚的・構造的差異を形式的に分析すること。
  • 局所的な画像コントラストに基づいて、ある攻撃タイプが他よりも大きなピクセル変化を達成する条件を特定すること。
  • 両方の攻撃タイプを組み合わせることで、単独では到達できない敵対的例が生成可能であることを示すこと。
  • 実世界の画像(例:CIFAR-10およびImageNet)に低コントラストおよび高コントラスト領域が存在することを実証的に検証すること。

提案手法

  • 局所コントラストを $C_{\text{max}}(x_{00}) = \max_{i,j \in \{-1,0,1\}} |x_{ij} - x_{00}|$ で定義し、3×3近傍内の最大ピクセル差を測定する。
  • オフダイアゴナルピクセル差を分離するための $E_{\text{max}}(x_{00}) = \max_{|i| \neq |j|} |x_{ij} - x_{00}|$ を導入し、幾何的複雑性を捉える。
  • 補題1を用いて、双線形補間によるバーチャルなフローベース摂動をモデル化し、新しいピクセル値を四分岐の角ピクセルの重み付き和として表現する。
  • フローベース摂動が $\epsilon \in [0,1]$ で制限され、加法的摂動が $\delta$ で制限される形式的脅威モデルを確立する。
  • 補題2を用いて、低コントラスト領域では加法的摂動がフローベース摂動の大きさを上回ることを示す。
  • 補題3を用いて、高コントラスト領域ではフローベース摂動が加法的摂動を上回ることを示し、特に $E_{\text{max}}(x_{00}) > \delta / \epsilon$ の場合に顕著である。

実験結果

リサーチクエスチョン

  • RQ1どのような画像条件下で、パrameter $\epsilon$ のフローベース摂動が、サイズ $\delta$ の加法的摂動が達成可能な最大変化を上回るか?
  • RQ2どのような条件下で、サイズ $\delta$ の加法的摂動が、パrameter $\epsilon$ のフローベース摂動が達成可能な最大変化を上回るか?
  • RQ3加法的およびフローベース摂動の組み合わせにより、単独では到達できない敵対的例が生成可能か?
  • RQ4CIFAR-10 や ImageNet などの実データセットにおいて、低コントラストおよび高コントラスト領域はどの程度広範に存在するか?
  • RQ5これらの2つの敵対的攻撃タイプ間の知覚的歪みの違いの理論的根拠は何か?

主な発見

  • もし $C_{\text{max}}(p) < \delta / (2\epsilon)$ であれば、ピクセル $p$ における加法的摂動は、パrameter $\epsilon$ の任意のフローベース摂動よりも大きな変化を生じる。
  • もし $E_{\text{max}}(q) \geq \delta / \epsilon$ であれば、ピクセル $q$ におけるフローベース摂動は、サイズ $\delta$ の任意の加法的摂動よりも大きな変化を生じる。
  • 両攻撃タイプの組み合わせにより、単独の方法では到達できない敵対的例が生成可能であり、これは低コントラストおよび高コントラスト領域における相補的な強みによるものである。
  • 384枚のCIFAR-10画像に対する実証的評価により、すべての画像に低コントラスト条件を満たすピクセルと高コントラスト条件を満たすピクセルが少なくとも1つ存在することが確認された。
  • 理論的枠組みは、$\delta + \text{flow}$ などの組み合わせ攻撃が単一タイプの攻撃よりも効果的である理由を説明しており、異なる画像構造を効果的に活用しているからである。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。