Skip to main content
Nubint
QUICK REVIEW

[论文解读] Imperceptible, Robust, and Targeted Adversarial Examples for Automatic Speech Recognition

Yao Qin, Nicholas Carlini|arXiv (Cornell University)|Mar 22, 2019
Adversarial Robustness in Machine Learning被引用 176
一句话总结

本论文使用听觉遮蔽构建不可察觉的、定向的对抗性音频用于语音识别(ASR),并通过房间仿真证明对远场失真具有鲁棒性。

ABSTRACT

Adversarial examples are inputs to machine learning models designed by an adversary to cause an incorrect output. So far, adversarial examples have been studied most extensively in the image domain. In this domain, adversarial examples can be constructed by imperceptibly modifying images to cause misclassification, and are practical in the physical world. In contrast, current targeted adversarial examples applied to speech recognition systems have neither of these properties: humans can easily identify the adversarial perturbations, and they are not effective when played over-the-air. This paper makes advances on both of these fronts. First, we develop effectively imperceptible audio adversarial examples (verified through a human study) by leveraging the psychoacoustic principle of auditory masking, while retaining 100% targeted success rate on arbitrary full-sentence targets. Next, we make progress towards physical-world over-the-air audio adversarial examples by constructing perturbations which remain effective even after applying realistic simulated environmental distortions.

研究动机与目标

  • 证明对抗样本对人类是不可察觉的,同时在ASR系统中对完整句子目标实现100%定向成功。
  • 通过模拟房间混响并对房间配置进行优化,发展对远场失真的鲁棒性。
  • 使用LibriSpeech数据在最先进的Lingvo ASR系统上评估不可察觉性与鲁棒性。
  • 在白盒威胁模型下推进对安全且鲁棒的ASR对抗者的理解。

提出的方法

  • 用心理声学遮蔽替代传统的Lp距离,以确保扰动在遮蔽阈值下不可听见。
  • 两阶段优化:先在较小扰动下最小化ASR损失,然后通过遮蔽阈值损失(ell_theta)强制不可察觉性。
  • 采用声学房间仿真器(image-source方法)来建模混响,并在房间配置分布上对扰动进行优化(对变换的期望)。
  • 使用两阶段或组合目标,生成在模拟远场失真下仍然有效的不可察觉且鲁棒的对抗性样本。
  • 对基于Listen, Attend, and Spell的Lingvo ASR进行定向转写y的攻击,同时将扰动维持在遮蔽阈值之内。
  • 在需要鲁棒性时,先从鲁棒扰动初始化,并用不可察觉性损失进行微调,以在鲁棒性和可感知性之间取得平衡。

实验结果

研究问题

  • RQ1是否可以使用听觉遮蔽使ASR的定向对抗样本对人耳不可察觉?
  • RQ2当音频在由声学模型模拟的现实房间环境中播放时,对抗扰动仍然有效吗?
  • RQ3在白盒访问下,是否可行为现代端到端ASR(如Lingvo)生成完整句子的定向对抗输出?
  • RQ4在ASR对抗样本中,不可察觉性和对远场失真的鲁棒性之间存在何种权衡?

主要发现

  • 在未进行远场模拟情况下,在Lingvo上对1000个LibriSpeech样本评估时,不可察觉、定向的对抗样本实现了100%的定向成功。
  • 通过在房间配置分布上优化可以提高对远场的鲁棒性;在模拟房间中,鲁棒样本在有利的WER改进下达到超过60%的成功率。
  • 人体研究表明对抗性音频并不被感知为比干净音频嘈杂,听众也难以将不可察觉的对抗样本与干净样本区分开。
  • 将不可察觉性与鲁棒性相结合的攻击者能够在多样的房间声学条件下维持有效性,然而存在权衡:更高的鲁棒性可能提高可察觉性。
  • 该方法针对最先进的Lingvo ASR系统,并证明在白盒威胁模型下不可察觉、鲁棒且定向的攻击是可行的。
  • 鲁棒样例表明增大最大范数界限可以提高成功率和WER,但会以牺牲可察觉性为代价。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。