Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] A New Defense Against Adversarial Images: Turning a Weakness into a Strength

Tao Yu, Shengyuan Hu|arXiv (Cornell University)|Oct 16, 2019
Adversarial Robustness in Machine Learning被引用数 61
ひとこと要約

本論文は敵対的摂動を検出可能な署名として再定義し、2つの基準からなる検出器(ガウスノイズへの頑健性と決定境界への近接)を提案する。白箱攻撃下でも有効で、ImageNetで顕著な検出率を達成する。

ABSTRACT

Natural images are virtually surrounded by low-density misclassified regions that can be efficiently discovered by gradient-guided search --- enabling the generation of adversarial images. While many techniques for detecting these attacks have been proposed, they are easily bypassed when the adversary has full knowledge of the detection mechanism and adapts the attack strategy accordingly. In this paper, we adopt a novel perspective and regard the omnipresence of adversarial perturbations as a strength rather than a weakness. We postulate that if an image has been tampered with, these adversarial directions either become harder to find with gradient methods or have substantially higher density than for natural images. We develop a practical test for this signature characteristic to successfully detect adversarial attacks, achieving unprecedented accuracy under the white-box setting where the adversary is given full knowledge of our detection mechanism.

研究の動機と目的

  • 自然画像の二重性質を強調する: 決定境界への近接とランダムノイズへの頑健性。
  • 防御の白箱知識がある場合でも敵対的摂動を検出する実用的な検査を開発する。
  • 提案された検出器を大規模データセット(ImageNet)と標準ベンチマーク(CIFAR-10)で評価する。
  • 再現性のためのコードを公開し、白箱敵対的検出のベースラインを確立する。

提案手法

  • 検出基準を2つ定義する: C1(ランダムガウスノイズへの頑健性)とC2(勾配ステップによる敵対的ノイズに対する感受性)。
  • L1とL2の項を含む混合目的関数(L星)に加え、C2をBPDA下で破る補助項L3とL4を追加して、C1とC2を回避しようとする敵対的損失を構築する。
  • 検出器に対して最適化する白箱攻撃者を用い、すべての基準を満たさない入力を拒否するしきい値を設定する。
  • ImageNet(ResNet-101)とCIFAR-10(VGG-19)でL∞制約下におけるPGD/CW攻撃で評価する。
  • Feature SqueezingやArtifactsなどのベースライン検出器と比較し、アブレーションとグレーボックス分析を行う。

実験結果

リサーチクエスチョン

  • RQ1検出器は自然画像周辺の敵対的摂動の固有分布を利用して、白箱設定でも健全な入力と敵対的入力を信頼性高く識別できるか。
  • RQ22つの直交基準(ランダムノイズへの頑健性と決定境界への近接)は、攻撃者の成功した敵対検出回避を抑制するのに十分か。
  • RQ3強力な白箱攻撃下で、ImageNetなどの大規模データセットとCIFAR-10のような小規模データセットで検出器はどのように性能を発揮するか。
  • RQ4このような検出器を実 systems に展開する際の実用的コスト(実行時間)と制約は何か。

主な発見

  • 白箱の強力なL∞攻撃の下で、20%の偽陽性率で最大49%の最悪ケース検出率を達成。
  • 基準C1単独では白箱攻撃に対して不十分だが、C2(C2t/C2u)と併用すると、多くの設定で実画像と敵対的画像を確実に分離する。
  • ImageNetでは、複数の攻撃構成にわたって結合基準がベースライン(Feature SqueezingとArtifacts)を上回り、グレーボックス攻撃は難易度高いが非自明な率で検出可能。
  • CIFAR-10の結果はデータセット特性とモデルの頑健性の影響でImageNetより弱いが、ベースラインより改善を示す。
  • 検出器は計算時間が顕著で、特に反復的な勾配ベース攻撃を必要とするC2評価が支配的であり、セキュリティと効率のトレードオフを強調している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。