Symmetry Defense Against CNN Adversarial Perturbation Attacks


この論文では、対称性を使用して、畳み込みニューラル ネットワーク分類器 (CNN) を敵対的な摂動攻撃に対して堅牢にします。
対称性は自然界に広く浸透している側面ですが、CNN は対称性をうまく扱うことができません。
たとえば、CNN は画像をその鏡像とは異なる方法で分類できます。
間違ったラベル $l_w$ で誤って分類された敵対的画像の場合、CNN が対称性を処理できないということは、対称的な敵対的画像が間違ったラベル $l_w$ とは異なる分類を行う可能性があることを意味します。
すべてのグループ対称性を画像に適用し、対称画像の分類ラベルのいずれか 2 つの一致に基づいて出力ラベルを決定します。
適応型攻撃は、対称画像に対して矛盾する CNN 出力値を使用する損失関数に依存する必要があるため、失敗します。
攻撃に関する知識がなくても、提案された対称防御は、ImageNet のデフォルトに近い精度で、勾配ベース攻撃とランダム検索攻撃の両方に対して成功します。


This paper uses symmetry to make Convolutional Neural Network classifiers (CNNs) robust against adversarial perturbation attacks. Such attacks add perturbation to original images to generate adversarial images that fool classifiers such as road sign classifiers of autonomous vehicles. Although symmetry is a pervasive aspect of the natural world, CNNs are unable to handle symmetry well. For example, a CNN can classify an image differently from its mirror image. For an adversarial image that misclassifies with a wrong label $l_w$, CNN inability to handle symmetry means that a symmetric adversarial image can classify differently from the wrong label $l_w$. Further than that, we find that the classification of a symmetric adversarial image reverts to the correct label. To classify an image when adversaries are unaware of the defense, we apply symmetry to the image and use the classification label of the symmetric image. To classify an image when adversaries are aware of the defense, we use mirror symmetry and pixel inversion symmetry to form a symmetry group. We apply all the group symmetries to the image and decide on the output label based on the agreement of any two of the classification labels of the symmetry images. Adaptive attacks fail because they need to rely on loss functions that use conflicting CNN output values for symmetric images. Without attack knowledge, the proposed symmetry defense succeeds against both gradient-based and random-search attacks, with up to near-default accuracies for ImageNet. The defense even improves the classification accuracy of original images.


著者 Blerta Lindqvist
発行日 2023-08-10 12:42:06+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス, Google

カテゴリー: cs.CR, cs.CV, cs.LG パーマリンク