Impact of Spatial Frequency Based Constraints on Adversarial Robustness

要約

敵対的な例は主に、人間が感知しない入力ピクセルの変更を悪用し、モデルが解釈できない特徴に基づいて決定を下すという事実から生じます。
興味深いことに、認知科学は、人間の分類決定の解釈可能性のプロセスは主に低空間周波数成分に依存していると報告しています。
この論文では、異なる空間周波数範囲に対応する情報を活用するためにトレーニング中に適用されるモデルの敵対的な摂動に対するロバスト性を調査します。
我々は、それが問題のデータの空間周波数特性と密接に関連していることを示します。
実際、データセットによっては、同じ制約でもロバスト性のレベルが大きく異なる場合があります (敵対的精度の差は最大 0.41)。
この現象を説明するために、高周波に対する感度のレベルや、元の入力とローパス フィルター処理された入力の間の敵対的摂動の伝達可能性などの影響力のある要素を明らかにするためにいくつかの実験を実施します。

要約(オリジナル)

Adversarial examples mainly exploit changes to input pixels to which humans are not sensitive to, and arise from the fact that models make decisions based on uninterpretable features. Interestingly, cognitive science reports that the process of interpretability for human classification decision relies predominantly on low spatial frequency components. In this paper, we investigate the robustness to adversarial perturbations of models enforced during training to leverage information corresponding to different spatial frequency ranges. We show that it is tightly linked to the spatial frequency characteristics of the data at stake. Indeed, depending on the data set, the same constraint may results in very different level of robustness (up to 0.41 adversarial accuracy difference). To explain this phenomenon, we conduct several experiments to enlighten influential factors such as the level of sensitivity to high frequencies, and the transferability of adversarial perturbations between original and low-pass filtered inputs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google