Skip to main content
QUICK REVIEW

[論文レビュー] Universal Adversarial Perturbations: A Survey

Ashutosh Chaubey, Nikhil Agrawal|arXiv (Cornell University)|May 16, 2020
Adversarial Robustness in Machine Learning参考文献 46被引用数 27
ひとこと要約

このサーベイは、深層学習におけるユニバーサル adversarial perturbations (UAP) について包括的な概要を提供しており、UAP の生成に向けたデータ駆動型およびデータ非依存型の手法、防御対策、視覚および NLP タスクにおける応用をカバーしている。UAP が最小限の計算で、いかなる入力に対してもほぼ見えないほどの摂動をもって深層ネットワークをだますことができ、データ依存性が低くても高いだませ率を達成できることを強調している。

ABSTRACT

Over the past decade, Deep Learning has emerged as a useful and efficient tool to solve a wide variety of complex learning problems ranging from image classification to human pose estimation, which is challenging to solve using statistical machine learning algorithms. However, despite their superior performance, deep neural networks are susceptible to adversarial perturbations, which can cause the network's prediction to change without making perceptible changes to the input image, thus creating severe security issues at the time of deployment of such systems. Recent works have shown the existence of Universal Adversarial Perturbations, which, when added to any image in a dataset, misclassifies it when passed through a target model. Such perturbations are more practical to deploy since there is minimal computation done during the actual attack. Several techniques have also been proposed to defend the neural networks against these perturbations. In this paper, we attempt to provide a detailed discussion on the various data-driven and data-independent methods for generating universal perturbations, along with measures to defend against such perturbations. We also cover the applications of such universal perturbations in various deep learning tasks.

研究の動機と目的

  • ユニバーサル adversarial perturbations (UAP) の生成に向けたデータ駆動型およびデータ非依存型の手法を体系的に分類・分析すること。
  • Perturbation Rectifying Networks (PRN) や min-max 学習を含む、UAP に対する既存の防御技術をレビューすること。
  • UAP の転送性および一般化特性が、さまざまなニューラルネットワークアーキテクチャ間でどのように現れるかを検討すること。
  • 画像分類、物体検出、セマンティックセグメンテーション、深度推定、画像検索、テキスト分類などのタスクにおける UAP の実用的応用を調査すること。
  • UAP のだませ率を向上させ、実世界での展開における耐性を高めるための未解決の課題および今後の研究方向性を特定すること。

提案手法

  • 訓練データへの依存性に基づいて、UAP の生成をデータ駆動型およびデータ非依存型のアプローチに分類すること。
  • Moosavi-Dezfooli et al. (2017) と同様の勾配ベースの最適化手法を用いて、損失を最大化することで UAP を生成する技術をレビューすること。
  • GAN を活用して UAP を生成する Universal Adversarial Networks (UANs) などの手法を分析すること。
  • 訓練データに依存せずに複数のレイヤーの中間特徴を改ざんする特徴改ざん技術を検討すること。
  • PRN や min-max 最適化、共有学習プロトコルなどの防御戦略を調査し、モデルの耐性を高めること。
  • UAP の生成効率およびだませ率を向上させるために、サーヴィレート目的関数と多様性損失の使用を評価すること。

実験結果

リサーチクエスチョン

  • RQ1データ駆動型とデータ非依存型の UAP 生成手法は、設計および有効性においてどのように異なるか?
  • RQ2UAP の主な特性、たとえば転送性や見えにくさとは何か、そしてそれらはどのように達成されるか?
  • RQ3UAP は視覚および NLP を含むさまざまなアーキテクチャやタスクにどの程度一般化できるか?
  • RQ4UAP に対して最も効果的な防御対策は何か、またその耐性とスケーラビリティはどのように比較できるか?
  • RQ5現在の UAP 技術には、だませ率および実世界への適用性の面でどのような制限があるか?

主な発見

  • UAP は最小限の計算で最先端のモデルに対して高いだませ率を達成でき、リアルタイム攻撃に実用的である。
  • データ非依存型の手法、たとえば特徴改ざんは、訓練データへのアクセスがなくても UAP を生成可能であり、ホワイトボックス攻撃を可能にする。
  • UAP はアーキテクチャ間で良好に一般化され、未学習のモデルに対しても転送可能であるため、深層ネットワークにおける根本的な脆弱性を示している。
  • PRN や min-max 学習といった防御対策は耐性を向上させるが、万能的ではないため、より強力な防御の必要性が浮き彫りになっている。
  • NLP における UAP、たとえば埋め込みの摂動による語の置換は、意味を保ったまま文を誤分類させる可能性がある。
  • 進展は見られるものの、UAP のだませ率は個々の入力に対する adversarial attack よりも低く、実世界への影響は限定的である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。