Don’t Look into the Sun: Adversarial Solarization Attacks on Image Classifiers

要約

分布外の入力に対するディープ ニューラル ネットワークの堅牢性を評価することは、特に自動運転などの安全性が重要な領域だけでなく、悪意のある攻撃者が入力をデジタル的に変更して安全装置を回避できる安全システムにおいても重要です。
ただし、正確なラベル情報を維持しながら、考えられるすべてのシナリオを網羅する効果的な配布外テストを設計することは、困難な作業です。
既存の手法では、攻撃の多様性と制約レベルの間で妥協が必要になることが多く、場合によってはその両方が必要になります。
画像分類モデルのより全体的な堅牢性評価に向けた最初のステップとして、概念的に単純でありながら強度に関係なく自然画像の全体的な構造を危険にさらすことを回避する画像ソラリゼーションに基づく攻撃手法を導入します。
複数の ImageNet モデルの包括的な評価を通じて、トレーニング拡張に統合されていない場合、攻撃の精度が大幅に低下する可能性があることを実証しました。
興味深いことに、それでも精度劣化に対する完全な耐性は得られません。
他の設定では、攻撃は多くの場合、モデルに依存しないパラメーターを備えたブラックボックス攻撃に単純化される可能性があります。
他の破損に対する防御は、私たちの特定の攻撃に対して効果的になるまで一貫して拡張されるわけではありません。
プロジェクト Web サイト: https://github.com/paulgavrikov/adversarial_solarization

要約(オリジナル)

Assessing the robustness of deep neural networks against out-of-distribution inputs is crucial, especially in safety-critical domains like autonomous driving, but also in safety systems where malicious actors can digitally alter inputs to circumvent safety guards. However, designing effective out-of-distribution tests that encompass all possible scenarios while preserving accurate label information is a challenging task. Existing methodologies often entail a compromise between variety and constraint levels for attacks and sometimes even both. In a first step towards a more holistic robustness evaluation of image classification models, we introduce an attack method based on image solarization that is conceptually straightforward yet avoids jeopardizing the global structure of natural images independent of the intensity. Through comprehensive evaluations of multiple ImageNet models, we demonstrate the attack’s capacity to degrade accuracy significantly, provided it is not integrated into the training augmentations. Interestingly, even then, no full immunity to accuracy deterioration is achieved. In other settings, the attack can often be simplified into a black-box attack with model-independent parameters. Defenses against other corruptions do not consistently extend to be effective against our specific attack. Project website: https://github.com/paulgavrikov/adversarial_solarization

arxiv情報

提供元, 利用サービス

arxiv.jp, Google