Evaluating Adversarial Robustness in the Spatial Frequency Domain

要約

畳み込みニューラル ネットワーク (CNN) は、コンピューター ビジョン タスクの大部分を占めています。
しかし、CNN は敵対的攻撃に対する脆弱性があるため、安全性が重要なアプリケーションにこれらのモデルを導入することについて懸念が生じています。
対照的に、空間周波数チャネルを利用して視覚信号を処理する人間視覚システム (HVS) は、敵対的な攻撃に対して耐性があります。
そのため、この論文では、周波数領域における CNN モデルの脆弱性を調査する実証研究を紹介します。
具体的には、離散コサイン変換 (DCT) を利用して空間周波数 (SF) 層を構築し、入力画像のブロックごとの周波数スペクトルを生成し、最初の特徴抽出層を置き換えることによって空間周波数 CNN (SF-CNN) を定式化します。
SF 層を備えた広く使用されている CNN バックボーン。
広範な実験を通じて、SF-CNN モデルは、ホワイト ボックス攻撃とブラック ボックス攻撃の両方に対して対応する CNN モデルよりも堅牢であることがわかりました。
SF-CNN の堅牢性をさらに説明するために、2 つの混合戦略を使用して SF 層と同じカーネル サイズを持つトレーニング可能な畳み込み層を比較し、低周波成分が SF-CNN の敵対的堅牢性に最も貢献していることを示します。
私たちは、私たちの観察が将来の堅牢な CNN モデルの設計に役立つと信じています。

要約(オリジナル)

Convolutional Neural Networks (CNNs) have dominated the majority of computer vision tasks. However, CNNs’ vulnerability to adversarial attacks has raised concerns about deploying these models to safety-critical applications. In contrast, the Human Visual System (HVS), which utilizes spatial frequency channels to process visual signals, is immune to adversarial attacks. As such, this paper presents an empirical study exploring the vulnerability of CNN models in the frequency domain. Specifically, we utilize the discrete cosine transform (DCT) to construct the Spatial-Frequency (SF) layer to produce a block-wise frequency spectrum of an input image and formulate Spatial Frequency CNNs (SF-CNNs) by replacing the initial feature extraction layers of widely-used CNN backbones with the SF layer. Through extensive experiments, we observe that SF-CNN models are more robust than their CNN counterparts under both white-box and black-box attacks. To further explain the robustness of SF-CNNs, we compare the SF layer with a trainable convolutional layer with identical kernel sizes using two mixing strategies to show that the lower frequency components contribute the most to the adversarial robustness of SF-CNNs. We believe our observations can guide the future design of robust CNN models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google