要約
敵対的な例は、よく訓練された深層学習モデルをだまして誤分類させるために、通常の例に区別できない摂動を追加することによって作成されます。
コンピュータ ビジョンのコンテキストでは、通常、この見分けがつかないという概念は、$L_{\infty}$ またはその他の基準によって制限されます。
ただし、これらの基準は、時系列データの識別不能性を測定するのには適していません。
この作業では、時系列データのワッサースタイン空間で敵対的な例を初めて提案し、ワッサースタイン距離を利用して通常の例と敵対的な例の間の摂動を制限します。
一変時系列データを乱すための敵対的攻撃方法である、ワッサースタイン射影勾配降下法 (WPGD) を紹介します。
勾配降下法を使用して WPGD の射影ステップを効率的に計算するために、1D 空間でのワッサースタイン距離の閉形式解を活用します。
さらに、ワッサースタイン空間での敵対的な例の検索がユークリッドの規範によって導かれ、制約されて、より効果的で知覚できない摂動が得られるように、2 段階の投影を提案します。
医療分野のいくつかの時系列データセットに対する提案された攻撃を経験的に評価します。
広範な結果は、Wasserstein 攻撃が強力であり、高い攻撃成功率でほとんどのターゲット分類子を正常に攻撃できることを示しています。
ワッサースタインの敵対的例の性質をよりよく研究するために、ワッサースタイン スムージングという名前の強力な防御メカニズムを評価して、潜在的な認定されたロバストネス防御を実現します。
防御はある程度の精度の向上を達成できますが、多くの場合、まだ制限があり、一変時系列データに関するワッサースタインの敵対的な例に対するより強力な認定された堅牢性方法を開発する余地が残されています。
要約(オリジナル)
Adversarial examples are crafted by adding indistinguishable perturbations to normal examples in order to fool a well-trained deep learning model to misclassify. In the context of computer vision, this notion of indistinguishability is typically bounded by $L_{\infty}$ or other norms. However, these norms are not appropriate for measuring indistinguishiability for time series data. In this work, we propose adversarial examples in the Wasserstein space for time series data for the first time and utilize Wasserstein distance to bound the perturbation between normal examples and adversarial examples. We introduce Wasserstein projected gradient descent (WPGD), an adversarial attack method for perturbing univariant time series data. We leverage the closed-form solution of Wasserstein distance in the 1D space to calculate the projection step of WPGD efficiently with the gradient descent method. We further propose a two-step projection so that the search of adversarial examples in the Wasserstein space is guided and constrained by Euclidean norms to yield more effective and imperceptible perturbations. We empirically evaluate the proposed attack on several time series datasets in the healthcare domain. Extensive results demonstrate that the Wasserstein attack is powerful and can successfully attack most of the target classifiers with a high attack success rate. To better study the nature of Wasserstein adversarial example, we evaluate a strong defense mechanism named Wasserstein smoothing for potential certified robustness defense. Although the defense can achieve some accuracy gain, it still has limitations in many cases and leaves space for developing a stronger certified robustness method to Wasserstein adversarial examples on univariant time series data.
arxiv情報
著者 | Wenjie Wang,Li Xiong,Jian Lou |
発行日 | 2023-03-22 07:50:15+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google