Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Universal Adversarial Audio Perturbations

Sajjad Abdoli, Luiz G. Hafemann|arXiv (Cornell University)|Aug 8, 2019
Adversarial Robustness in Machine Learning参考文献 63被引用数 35
ひとこと要約

本論文は音声に対する universal adversarial perturbations の existence を証明し、それらを作成する二つの方法を提案する:反復的グリーディ法と新規なペナルティベース法。これにより、複数の音声分類器に対して高い攻撃成功率を達成する。

ABSTRACT

We demonstrate the existence of universal adversarial perturbations, which can fool a family of audio classification architectures, for both targeted and untargeted attack scenarios. We propose two methods for finding such perturbations. The first method is based on an iterative, greedy approach that is well-known in computer vision: it aggregates small perturbations to the input so as to push it to the decision boundary. The second method, which is the main contribution of this work, is a novel penalty formulation, which finds targeted and untargeted universal adversarial perturbations. Differently from the greedy approach, the penalty method minimizes an appropriate objective function on a batch of samples. Therefore, it produces more successful attacks when the number of training samples is limited. Moreover, we provide a proof that the proposed penalty method theoretically converges to a solution that corresponds to universal adversarial perturbations. We also demonstrate that it is possible to provide successful attacks using the penalty method when only one sample from the target dataset is available for the attacker. Experimental results on attacking various 1D CNN architectures have shown attack success rates higher than 85.0% and 83.1% for targeted and untargeted attacks, respectively using the proposed penalty method.

研究の動機と目的

  • 音声分類における普遍的摂動の動機付けと形式化。
  • 普遍的な音声摂動を作成する二つの方法を実証(グリーディ法とペナルティベース法)。
  • 提案されたペナルティ法の理論的収束性を示す。
  • 環境音分類と音声コマンド認識のための複数のエンドツーエンド音声アーキテクチャに対する攻撃を評価。

提案手法

  • 音声入力に対する普遍的摂動問題を形式化し、摂動ノルムの境界と欺瞞率という二つの制約を定義。
  • 最小摂動を集約してサンプルを決定境界へ押し上げることで、反復的グリーディ法を音声に適用。
  • サンプルのバッチ上の目的関数を最小化するペナルティベースの最適化を導入、音声のボックス制約を課すために tanh-space 変数変換を用いる。
  • 摂動の大きさの知覚指標として SPL(dB) を用い、最適化変数を変換して [0,1] の音声範囲内で有効性を保証。
  • SPL(v) とヒンジ型ペナルティ G(w,t) を組み合わせた微分可能な目的関数を定義し、標的型または非標的な誤分類を強制。
  • ペナルティ形式の下で制約付き問題の解への収束を証明する(Theorem 1)。
  • ミニバッチ上で Adam 最適化を用いて学習し、複数の音声アーキテクチャに対して両手法を比較。

実験結果

リサーチクエスチョン

  • RQ1固定された普遍摂動は、標的型および非標的型の両方の目標に対して、幅広い音声分類器を騙せるか?
  • RQ2グリーディ法とペナルティベース法は、特に学習サンプルが限られている場合に効果の点でどう比較されるか?
  • RQ3ペナルティ形式は普遍摂動へ収束し、モデル間で転移性を保つか?
  • RQ4高い欺瞞率を達成しつつ、摂動の知覚影響(SPL, SNR)はどの程度が許容されるか?
  • RQ5単一サンプルで音声タスクの効果的な普遍摂動を作成できるか?

主な発見

  • 音声に対して普遍的敵対摂動が存在し、標的型および非標的型設定で一連の分類器を欺く。
  • ペナルティベース法は、標的モデル間で反復グリーディ法より高い攻撃成功率を達成。
  • 環境音モデルでは、ペナルティ法が平均 ASR の改善を達成し、グリーディ法と同等の SNR を維持。
  • 音声コマンド認識では、ペナルティ法が競争力のある ASR を達成し、時には知覚的な音量指標を改善。
  • 提案手法は、ペナルティ法の下で、標的攻撃で 85% を超える、非標的攻撃で 83.1% を超える攻撃成功率を、報告データセットで得る。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。