Efficient Adversarial Input Generation via Neural Net Patching

要約

敵対的な入力の生成は、ディープ ニューラル ネットの堅牢性と信頼性を確立する上で、特に自動運転車や精密医療などの安全性が重要なアプリケーション領域で使用される場合に重要な問題となっています。
ただし、この問題は、大規模なネットワークによるスケーラビリティの問題や、自然性や出力の公平性などの重要な品質を欠いた敵対的な入力の生成など、複数の実際的な課題を引き起こします。
この問題は、最終目標をニューラル ネットにパッチを適用するタスクと共有しています。このタスクでは、ネットワークの重みの一部の小さな変更を検出して、これらの変更を適用すると、変更されたネットが特定の入力セットに対して望ましい出力を生成するようにする必要があります。
私たちは、重みを変更する効果は、代わりに入力を変更することによってももたらされる可能性があるという基礎的な観察とともに、パッチから敵対的な入力を取得することを提案することによってこの関係を利用します。
したがって、この論文では、効率的なネットワーク パッチ技術を使用して、特定のネットワークにとって敵対的な入力摂動を生成する新しい方法を紹介します。
提案された方法が従来の最先端技術よりも大幅に効果的であることに注目します。

要約(オリジナル)

The generation of adversarial inputs has become a crucial issue in establishing the robustness and trustworthiness of deep neural nets, especially when they are used in safety-critical application domains such as autonomous vehicles and precision medicine. However, the problem poses multiple practical challenges, including scalability issues owing to large-sized networks, and the generation of adversarial inputs that lack important qualities such as naturalness and output-impartiality. This problem shares its end goal with the task of patching neural nets where small changes in some of the network’s weights need to be discovered so that upon applying these changes, the modified net produces the desirable output for a given set of inputs. We exploit this connection by proposing to obtain an adversarial input from a patch, with the underlying observation that the effect of changing the weights can also be brought about by changing the inputs instead. Thus, this paper presents a novel way to generate input perturbations that are adversarial for a given network by using an efficient network patching technique. We note that the proposed method is significantly more effective than the prior state-of-the-art techniques.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google