[論文レビュー] Unravelling Robustness of Deep Learning based Face Recognition Against Adversarial Attacks
論文は、深層顔認識システム(OpenFace, VGG-Face ほか)が現実世界の歪みや敵対的摂動にどの程度脆弱かを分析し、中間表現を用いた層別検出手法を提案し、頑健性を向上させる selective dropout の緩和を導入する。
Deep neural network (DNN) architecture based models have high expressive power and learning capacity. However, they are essentially a black box method since it is not easy to mathematically formulate the functions that are learned within its many layers of representation. Realizing this, many researchers have started to design methods to exploit the drawbacks of deep learning based algorithms questioning their robustness and exposing their singularities. In this paper, we attempt to unravel three aspects related to the robustness of DNNs for face recognition: (i) assessing the impact of deep architectures for face recognition in terms of vulnerabilities to attacks inspired by commonly observed distortions in the real world that are well handled by shallow learning methods along with learning based adversaries; (ii) detecting the singularities by characterizing abnormal filter response behavior in the hidden layers of deep networks; and (iii) making corrections to the processing pipeline to alleviate the problem. Our experimental evaluation using multiple open-source DNN-based face recognition networks, including OpenFace and VGG-Face, and two publicly available databases (MEDS and PaSC) demonstrates that the performance of deep learning based face recognition algorithms can suffer greatly in the presence of such distortions. The proposed method is also compared with existing detection algorithms and the results show that it is able to detect the attacks with very high accuracy by suitably designing a classifier using the response of the hidden layers in the network. Finally, we present several effective countermeasures to mitigate the impact of adversarial attacks and improve the overall robustness of DNN-based face recognition.
研究の動機と目的
- 画像歪みや敵対的サンプルによって、深層学習ベースの顔認識が大きく低下し得ることを示す。
- 層ごとの隠れ表現を分析して敵対的な歪みを検出する方法を提案する。
- 歪みが検出された場合に性能を回復させる緩和戦略(選択的ドロップアウト)を提案する。
提案手法
- PaSCおよびMEDSデータベース上で、五つの歪みタイプ(グリッドオクルージョン、xMSBノイズ、FHBO、ERO、あごひげ)を用いて、OpenFace, VGG-Face, LightCNN, L-CSSE などの複数のDNNベースの顔認識モデルを評価する。
- 層の隠れ層における異常なフィルタ応答挙動を特徴付け、層-wise表現距離の訓練済みSVMで歪みを検出する。
- 歪みのないデータから層別の平均表現を計算し、Canberra距離を用いて逸脱を定量化して検出に用いる。
- 中間層表現を用いて、歪みあり入力と歪みなし入力を識別する検出モデルを訓練する。
- 歪みに敏感なフィルターの上位の割合を選択した層で無効化し、歪みによる検証精度低下を抑えるために中央値フィルタ除噪を適用する緩和を開発する。
実験結果
リサーチクエスチョン
- RQ1最先端の深層顔認識モデルは現実的な歪みや学習ベースの敵対者に対してどの程度脆弱か。
- RQ2内部層の表現は敵対的歪みを示すことができ、出力ラベルを変更せずに信頼性の高い検出を可能にするか。
- RQ3推論時に歪みに弱いフィルターを選択的にドロップすることで、精度を著しく犠牲にせず頑健性が向上するか。
主な発見
- 深層学習ベースの顔認識器は、グリッド、xMSB、FHBO、ERO、Beard などの歪みに対して、既製品の非深層システムと比較して顕著な性能低下を示す。
- 層別表現ベースの検出器はPaSCとMEDSの両データセットで高い検出性能を達成し、PaSCでの精度がMEDSより高く、トップ特徴を用いると最大約97%に達するが、MEDSでは一部ケースで約68%まで低下。
- Canberra距離ベースの層-wise特徴とSVMを組み合わせた検出は、DeepFoolやUniversal Perturbationsのようなアーキテクチャ主導の攻撃に対して特に、既存の敵対検出手法を上回る。
- 選択的ドロップアウトと中央値フィルタ除噪を組み合わせると敵対的影響を緩和し、1% FARでのGARを改善し、MEDSとPaSCの両データセットで元の性能に近づける。
- 緩和が歪み後の検証性能を顕著に回復させる可能性があり、敵対的サンプルに対するランタイム補正の実用性を示している。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。