[論文レビュー] Skip Connections Matter: On the Transferability of Adversarial Examples Generated with ResNets
本論文は、ResNet様のアーキテクチャにおけるスキップ接続が高い転送性を持つ敵対的サンプルを促進することを示し、スキップ勾配法(SGM)を導入して勾配をスキップ接続へ偏らせ、さまざまなモデルと攻撃設定で大きな転送性の向上をもたらすことを明らかにしている。
Skip connections are an essential component of current state-of-the-art deep neural networks (DNNs) such as ResNet, WideResNet, DenseNet, and ResNeXt. Despite their huge success in building deeper and more powerful DNNs, we identify a surprising security weakness of skip connections in this paper. Use of skip connections allows easier generation of highly transferable adversarial examples. Specifically, in ResNet-like (with skip connections) neural networks, gradients can backpropagate through either skip connections or residual modules. We find that using more gradients from the skip connections rather than the residual modules according to a decay factor, allows one to craft adversarial examples with high transferability. Our method is termed Skip Gradient Method(SGM). We conduct comprehensive transfer attacks against state-of-the-art DNNs including ResNets, DenseNets, Inceptions, Inception-ResNet, Squeeze-and-Excitation Network (SENet) and robustly trained DNNs. We show that employing SGM on the gradient flow can greatly improve the transferability of crafted attacks in almost all cases. Furthermore, SGM can be easily combined with existing black-box attack techniques, and obtain high improvements over state-of-the-art transferability methods. Our findings not only motivate new research into the architectural vulnerability of DNNs, but also open up further challenges for the design of secure DNN architectures.
研究の動機と目的
- スキップ接続を持つネットワークにおける敵対的転送性に影響を与える構造要因を特定する。
- 勾配をスキップ接続へ偏らせる、単純な勾配ベースの攻撃強化(SGM)を提案する。
- 複数のソースモデルとターゲットモデルのペア、および堅牢に学習させたモデルに対してSGMを評価する。
- SGMが既存の転移手法と組み合わさることで転送性のベンチマークを改善することを示す。
提案手法
- ResNet様のネットワークにおいて、スキップ接続と残差モジュールに沿って勾配を分解する。
- 勾配のうち残差モジュールからの成分を段階的に重みを下げるようにするデケイ因子gammaを導入し、スキップパスの勾配を保持する。
- 偏った勾配項でFGSM/PGDの更新を修正することによりSkip Gradient Method(SGM)を定義する。
- BIM/PGD系の攻撃でSGMを実証し、8つのソースモデルと7つのターゲットモデル(セキュアと非セキュア)間の転送性を評価する。
- Inception V3をターゲットとするブラックボックス攻撃でSGMを用いた場合の転送利得を示すケーススタディを実施する。
- SGMをMI、DI、TIおよびアンサンブルベースの攻撃と組み合わせた場合の適合性と改善を評価する。
実験結果
リサーチクエスチョン
- RQ1スキップ接続は勾配の流れと敵対的例の転送性にどのような影響を与えるか。
- RQ2スキップ接続へ勾配伝播をバイアスすること(SGMを介して)がモデルを跨ぐ転送性を改善できるか。
- RQ3SGMが既存の転送技法(MI、DI、TI)および堅牢に学習されたターゲットとどのように相互作用するか。
- RQ4より多くのスキップ接続(例:DenseNets)の存在はSGMの転送性の利得を増幅するか。
主な発見
- SGMはほとんどのソースモデルとターゲットアーキテクチャに対するブラックボックス転送性を大幅に向上させる(例:DN201からInception V3への転送は35.48%から65.38%へ増加)。
- より多くのスキップ接続は一般にSGM下で転送性の利得を大きくし、ResNet系列と DenseNet系列で明確な改善を示す。
- SGMはMI、DI、TIと組み合わせて新しい転移ベンチマークを達成できる(例:MI+DI+SGMがいくつかのターゲットで80%を達成または上回る)。
- 堅牢に学習されたターゲットに対して作成された攻撃は依然として抵抗力が高いが、TIはセキュアなモデルに対する最も強力な単独転送手法となる傾向があり、組み合わせるとSGMが追加の利得を提供する。
- デケイパラメータ gamma はソースモデル上で調整して複数のターゲットに対する転送性を最適化でき、SGMを用いたアンサンブル攻撃は強い性能を維持する。
- SGMはバックプロパゲーションの追加計算を必要とせず、逆伝播時に残差経路に沿う勾配のみをスケーリングするだけで済む。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。