Unfolding Local Growth Rate Estimates for (Almost) Perfect Adversarial Detection


畳み込みニューラル ネットワーク (CNN) は、多くの知覚タスクに対する最先端のソリューションを定義します。
ただし、現在の CNN アプローチは、人間の目にはほとんど知覚できない一方で、システムを欺くために特別に作成された入力の敵対的摂動に対して脆弱なままです。
近年、モデルの強化や明示的な防御メカニズムの追加など、このような攻撃から CNN を防御するためのさまざまなアプローチが提案されています。
この作業では、ネットワークのローカル固有次元 (LID) と敵対的攻撃との関係に関する最近の調査結果を活用する、シンプルで軽量な検出器を提案します。
LID 測定値の再解釈といくつかの単純な適応に基づいて、敵対的検出の最先端を大幅に上回り、いくつかのネットワークとデータセットの F1 スコアに関してほぼ完璧な結果に達します。
入手可能なソース: https://github.com/adverML/multiLID


Convolutional neural networks (CNN) define the state-of-the-art solution on many perceptual tasks. However, current CNN approaches largely remain vulnerable against adversarial perturbations of the input that have been crafted specifically to fool the system while being quasi-imperceptible to the human eye. In recent years, various approaches have been proposed to defend CNNs against such attacks, for example by model hardening or by adding explicit defence mechanisms. Thereby, a small ‘detector’ is included in the network and trained on the binary classification task of distinguishing genuine data from data containing adversarial perturbations. In this work, we propose a simple and light-weight detector, which leverages recent findings on the relation between networks’ local intrinsic dimensionality (LID) and adversarial attacks. Based on a re-interpretation of the LID measure and several simple adaptations, we surpass the state-of-the-art on adversarial detection by a significant margin and reach almost perfect results in terms of F1-score for several networks and datasets. Sources available at: https://github.com/adverML/multiLID


著者 Peter Lorenz,Margret Keuper,Janis Keuper
発行日 2022-12-13 17:51:32+00:00
arxiv_id(pdf)

カテゴリー: cs.CR, cs.CV パーマリンク