Stylized Adversarial Defense

要約

深層畳み込みニューラル ネットワーク (CNN) は、入力画像のわずかな変化によって簡単にだまされる可能性があります。
この脆弱性に対処するために、敵対的トレーニングは摂動パターンを作成し、それらをトレーニング セットに含めてモデルを堅牢化します。
クラス境界情報のみを使用する既存の敵対的トレーニング方法 (クロスエントロピー損失など) とは対照的に、特徴空間からの追加情報を活用して、より強力な敵対者を作成し、それを使用して堅牢なモデルを学習することを提案します。
具体的には、別のクラスからのターゲット サンプルのスタイルとコンテンツの情報を、そのクラス境界情報と共に使用して、敵対的な摂動を作成します。
提案されたマルチタスクの目的を深く監視された方法で適用し、マルチスケールの特徴知識を抽出して、敵を最大限に分離します。
その後、ソース画像とその敵対者の間の距離を最小化し、敵対者とターゲット画像の間の距離を最大化する最大マージンの敵対的トレーニングアプローチを提案します。
当社の敵対的トレーニング アプローチは、最先端の防御と比較して強力な堅牢性を示し、自然に発生する破損やデータ分布のシフトを一般化し、クリーンな例でモデルの精度を維持します。

要約(オリジナル)

Deep Convolution Neural Networks (CNNs) can easily be fooled by subtle, imperceptible changes to the input images. To address this vulnerability, adversarial training creates perturbation patterns and includes them in the training set to robustify the model. In contrast to existing adversarial training methods that only use class-boundary information (e.g., using a cross-entropy loss), we propose to exploit additional information from the feature space to craft stronger adversaries that are in turn used to learn a robust model. Specifically, we use the style and content information of the target sample from another class, alongside its class-boundary information to create adversarial perturbations. We apply our proposed multi-task objective in a deeply supervised manner, extracting multi-scale feature knowledge to create maximally separating adversaries. Subsequently, we propose a max-margin adversarial training approach that minimizes the distance between source image and its adversary and maximizes the distance between the adversary and the target image. Our adversarial training approach demonstrates strong robustness compared to state-of-the-art defenses, generalizes well to naturally occurring corruptions and data distributional shifts, and retains the model accuracy on clean examples.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google