Unfolding Local Growth Rate Estimates for (Almost) Perfect Adversarial Detection

要約

畳み込みニューラル ネットワーク (CNN) は、多くの知覚タスクに対する最先端のソリューションを定義します。
しかし、現在の CNN アプローチは、人間の目にはほとんど知覚できない一方で、システムを欺くために特別に作られた、敵対的な入力の摂動に対して依然として脆弱なままです。
近年、モデルの強化や明示的な防御メカニズムの追加など、このような攻撃から CNN を防御するためのさまざまなアプローチが提案されています。
これにより、小さな「検出器」がネットワークに組み込まれ、本物のデータと敵対的な摂動を含むデータを区別するバイナリ分類タスクでトレーニングされます。
この研究では、ネットワークのローカル固有次元 (LID) と敵対的攻撃の関係に関する最近の発見を活用した、シンプルで軽量の検出器を提案します。
LID 測定の再解釈といくつかの簡単な適応に基づいて、敵対的検出に関する最先端技術を大幅に上回り、いくつかのネットワークとデータセットの F1 スコアの点でほぼ完璧な結果に達しました。
ソースは https://github.com/adverML/multiLID で入手できます。

要約(オリジナル)

Convolutional neural networks (CNN) define the state-of-the-art solution on many perceptual tasks. However, current CNN approaches largely remain vulnerable against adversarial perturbations of the input that have been crafted specifically to fool the system while being quasi-imperceptible to the human eye. In recent years, various approaches have been proposed to defend CNNs against such attacks, for example by model hardening or by adding explicit defence mechanisms. Thereby, a small ‘detector’ is included in the network and trained on the binary classification task of distinguishing genuine data from data containing adversarial perturbations. In this work, we propose a simple and light-weight detector, which leverages recent findings on the relation between networks’ local intrinsic dimensionality (LID) and adversarial attacks. Based on a re-interpretation of the LID measure and several simple adaptations, we surpass the state-of-the-art on adversarial detection by a significant margin and reach almost perfect results in terms of F1-score for several networks and datasets. Sources available at: https://github.com/adverML/multiLID

arxiv情報

提供元, 利用サービス

arxiv.jp, Google