Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Universal Adversarial Audio Perturbations

Sajjad Abdoli, Luiz G. Hafemann|arXiv (Cornell University)|2019. 08. 08.
Adversarial Robustness in Machine Learning참고 문헌 63인용 수 35
한 줄 요약

논문은 오디오에 대한 보편적 적대적 교란의 존재를 증명하고 두 가지 방법으로 이를 생성한다: 점진적 탐욕적 접근과 새로운 페널티 기반 방법으로, 여러 오디오 분류기에 대해 높은 공격 성공률을 달성한다.

ABSTRACT

We demonstrate the existence of universal adversarial perturbations, which can fool a family of audio classification architectures, for both targeted and untargeted attack scenarios. We propose two methods for finding such perturbations. The first method is based on an iterative, greedy approach that is well-known in computer vision: it aggregates small perturbations to the input so as to push it to the decision boundary. The second method, which is the main contribution of this work, is a novel penalty formulation, which finds targeted and untargeted universal adversarial perturbations. Differently from the greedy approach, the penalty method minimizes an appropriate objective function on a batch of samples. Therefore, it produces more successful attacks when the number of training samples is limited. Moreover, we provide a proof that the proposed penalty method theoretically converges to a solution that corresponds to universal adversarial perturbations. We also demonstrate that it is possible to provide successful attacks using the penalty method when only one sample from the target dataset is available for the attacker. Experimental results on attacking various 1D CNN architectures have shown attack success rates higher than 85.0% and 83.1% for targeted and untargeted attacks, respectively using the proposed penalty method.

연구 동기 및 목표

  • 오디오 분류에서 보편적 교란의 동기 부여 및 형식화
  • 보편적 오디오 교란을 생성하는 두 가지 방법(그리디 및 페널티 기반) 시연
  • 제안된 페널티 방법의 이론적 수렴성 보여주기
  • 환경 소리 분류 및 음성 명령 인식을 위한 다중 엔드-투-엔드 오디오 아키텍처에 대한 공격 평가

제안 방법

  • 오디오 입력에 대한 보편적 교란 문제를 형식화하고 두 가지 제약 조건을 정의: 교란 노름 bound와 속임수 비율(fooling rate)
  • 오디오에 맞게 반복적 그리디 방법을 적응시켜 최소 교란을 모아 샘플을 결정 경계로 밀어 넣기
  • 배치 샘플에 대한 목적함수를 tanh-공간 변수 변환을 사용하여 오디오 박스 제약을 강제하는 페널티 기반 최적화를 도입
  • SPL(dB)을 교란 크기의 지각적 지표로 사용하고 최적화 변수를 [0,1] 오디오 범위 내에서 타당하게 변환
  • SPL(v)와 핵심 기반 페널티 G(w,t)를 결합한 미분 가능 목적함수 정의(타깃 또는 비타깃 오분류를 강제)
  • 페널티 형식의 제약 문제의 해에 수렴함을 보장하는 수렴성(정리 1) 입증
  • Adam 최적화를 이용한 미니배치 학습 및 두 방법을 여러 오디오 아키텍처에서 비교

실험 결과

연구 질문

  • RQ1고정된 보편 교란이 대상 목표에 상관없이 다양한 오디오 분류기를 속일 수 있는가?
  • RQ2그리디 및 페널티 기반 방법의 효과는 특히 제한된 학습 샘플에서 어떻게 비교되는가?
  • RQ3페널티 형식이 보편 교란으로 수렴하고 모델 간 이전 가능성을 유지하는가?
  • RQ4높은 속임수 비율을 달성하면서 허용 가능한 교란의 지각적 영향(SPL, SNR)은 어느 수준인가?
  • RQ5하나의 샘플로도 오디오 작업에 대해 효과적인 보편 교란을 만들 수 있는가?

주요 결과

  • 오디오에 대한 보편적 적대적 교란이 존재하며 특정 및 비타깃 설정에서 분류기 군을 속인다.
  • 페널티 기반 방법이 반복적 그리드 방법보다 타깃 모델에서의 공격 성공률이 더 높다.
  • 환경 소리 모델에서 페널티 방법이 평균 ASR 향상을 달성하고 그리드 방법과 비교해 유사한 SNR을 유지한다.
  • 음성 명령 인식에서 페널티 방법이 경쟁력 있는 ASR을 달성하며 때때로 지각적 음량 지표를 향상시킨다.
  • 제안된 접근 방식은 페널티 방법 하에서 타깃 공격에서 85%를 초과하는 공격 성공률, 비타깃 공격에서 83.1%를 달성(보고된 데이터셋에서)

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.