Imperceptible Adversarial Attack on Deep Neural Networks from Image Boundary

要約

畳み込みニューラル ネットワーク (CNN) やビジョン トランスフォーマー (ViT) などのディープ ニューラル ネットワーク (DNN) は、コンピューター ビジョンの分野で成功裏に適用されていますが、よく求められている敵対的例 (AE) に対して脆弱であることが実証されています。
DNN を簡単にだますことができます。
AE に関する研究は活発であり、2014 年に発見されて以来、多くの敵対的攻撃とその説明が提案されています。AE の存在の謎は依然として未解決の疑問であり、多くの研究は DNN トレーニング アルゴリズムには盲点があることを示唆しています。
通常、顕著なオブジェクトは境界と重なりません。
したがって、DNN モデルは境界に注目しません。
それにもかかわらず、最近の研究では、境界が DNN モデルの動作を支配する可能性があることが示されています。
したがって、この研究は、AE を別の視点から見ることを目的とし、AE を見つけるために入力画像の境界を系統的に攻撃する、知覚できない敵対的攻撃を提案します。
実験結果は、提案された境界攻撃手法が、入力画像コンテンツ (境界から) の 32% のみを使用して、平均成功率 (SR) 95.2% と平均ピーク信号で 6 つの CNN モデルと ViT を効果的に攻撃することを示しました。
対雑音比は41.37dB。
敵対的境界の幅と SR の関係、および敵対的境界が DNN モデルの注意をどのように変化させるかなどの相関分析が実行されます。
この論文の発見は、AE の理解を促進し、AE の構築方法について異なる視点を提供する可能性があります。

要約(オリジナル)

Although Deep Neural Networks (DNNs), such as the convolutional neural networks (CNN) and Vision Transformers (ViTs), have been successfully applied in the field of computer vision, they are demonstrated to be vulnerable to well-sought Adversarial Examples (AEs) that can easily fool the DNNs. The research in AEs has been active, and many adversarial attacks and explanations have been proposed since they were discovered in 2014. The mystery of the AE’s existence is still an open question, and many studies suggest that DNN training algorithms have blind spots. The salient objects usually do not overlap with boundaries; hence, the boundaries are not the DNN model’s attention. Nevertheless, recent studies show that the boundaries can dominate the behavior of the DNN models. Hence, this study aims to look at the AEs from a different perspective and proposes an imperceptible adversarial attack that systemically attacks the input image boundary for finding the AEs. The experimental results have shown that the proposed boundary attacking method effectively attacks six CNN models and the ViT using only 32% of the input image content (from the boundaries) with an average success rate (SR) of 95.2% and an average peak signal-to-noise ratio of 41.37 dB. Correlation analyses are conducted, including the relation between the adversarial boundary’s width and the SR and how the adversarial boundary changes the DNN model’s attention. This paper’s discoveries can potentially advance the understanding of AEs and provide a different perspective on how AEs can be constructed.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google