要約
本論文では、敵対的な攻撃から身を守るための手法のうち、敵対者が通り抜けにくいノイズの多い、不連続な、あるいは荒れた損失地形を作り出すことに成功の一因があるものを調査している。この効果を得るための一般的な方法は、確率的ニューラルネットワークを用いることであるが、普遍的な方法ではない。我々は、これが勾配難読化の一形態であることを示し、損失関数の表面を滑らかにし、より信頼性の高い勾配推定を提供するWeierstrass変換に基づく勾配ベースの敵対者への一般的な拡張を提案する。さらに、同じ原理で勾配を持たない敵対者を強化できることを示す。我々は、この種の難読化によって堅牢性を示す確率的および非確率的な敵対的防御に対して、損失平滑化法が有効であることを実証する。さらに、確率的な防御を攻撃するために現在よく使われている勾配サンプリング法であるExpectation over Transformationとの相互作用について分析を行った。
要約(オリジナル)
This paper investigates a family of methods for defending against adversarial attacks that owe part of their success to creating a noisy, discontinuous, or otherwise rugged loss landscape that adversaries find difficult to navigate. A common, but not universal, way to achieve this effect is via the use of stochastic neural networks. We show that this is a form of gradient obfuscation, and propose a general extension to gradient-based adversaries based on the Weierstrass transform, which smooths the surface of the loss function and provides more reliable gradient estimates. We further show that the same principle can strengthen gradient-free adversaries. We demonstrate the efficacy of our loss-smoothing method against both stochastic and non-stochastic adversarial defences that exhibit robustness due to this type of obfuscation. Furthermore, we provide analysis of how it interacts with Expectation over Transformation; a popular gradient-sampling method currently used to attack stochastic defences.
arxiv情報
| 著者 | Panagiotis Eustratiadis,Henry Gouk,Da Li,Timothy Hospedales |
| 発行日 | 2022-08-05 16:14:06+00:00 |
| arxivサイト | arxiv_id(pdf) |