Adversarial Scratches: Deployable Attacks to CNN Classifiers

要約

深層ニューラル ネットワークが敵対的な例の影響を受けやすいことを示す研究が増えています。
これらは、モデルの入力に適用される小さな摂動の形をとり、不正確な予測につながります。
残念なことに、ほとんどの文献はデジタル画像に適用される視覚的に知覚できない摂動に焦点を当てており、物理的なターゲットに展開することは設計上不可能であることがよくあります。
Adversarial Scratches を紹介します。これは、画像内のスクラッチの形をとり、他の最先端の攻撃よりもはるかに優れた展開性を備えた、新しい L0 ブラック ボックス攻撃です。
アドバーサリアル スクラッチは、ベジェ曲線を利用して探索空間の次元を縮小し、攻撃を特定の場所に限定する可能性があります。
公開されている API や交通標識の画像など、いくつかのシナリオで Adversarial Scratches をテストします。
結果は、多くの場合、私たちの攻撃は、他の展開可能な最先端の方法よりも高いだまし率を達成する一方で、必要なクエリと変更するピクセルが非常に少ないことを示しています。

要約(オリジナル)

A growing body of work has shown that deep neural networks are susceptible to adversarial examples. These take the form of small perturbations applied to the model’s input which lead to incorrect predictions. Unfortunately, most literature focuses on visually imperceivable perturbations to be applied to digital images that often are, by design, impossible to be deployed to physical targets. We present Adversarial Scratches: a novel L0 black-box attack, which takes the form of scratches in images, and which possesses much greater deployability than other state-of-the-art attacks. Adversarial Scratches leverage B\’ezier Curves to reduce the dimension of the search space and possibly constrain the attack to a specific location. We test Adversarial Scratches in several scenarios, including a publicly available API and images of traffic signs. Results show that, often, our attack achieves higher fooling rate than other deployable state-of-the-art methods, while requiring significantly fewer queries and modifying very few pixels.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google