Revisiting DeepFool: generalization and improvement

要約

ディープ ニューラル ネットワークは、敵対的な例に対して脆弱であることが知られています。敵対的な例とは、ネットワークをだまして誤った予測をさせるためにわずかに変更された入力です。
これにより、そのような摂動に対するこれらのネットワークの堅牢性を評価するためのかなりの量の研究が行われました。
特に重要なロバスト性の指標の 1 つは、最小の l2 敵対的摂動に対するロバスト性です。
ただし、この堅牢性メトリックを評価するための既存の方法は、計算コストが高いか、あまり正確ではありません。
このホワイトペーパーでは、有効性と計算効率のバランスをとる新しい敵対的攻撃のファミリーを紹介します。
私たちが提案する攻撃は、よく知られている DeepFool (DF) 攻撃を一般化したものですが、理解しやすく実装も簡単です。
私たちの攻撃は、有効性と計算効率の両方の点で既存の方法よりも優れていることを示しています。
私たちが提案する攻撃は、大規模なモデルのロバスト性の評価にも適しており、敵対的トレーニング (AT) を実行して、最小の l2 敵対的摂動に対する最先端のロバスト性を実現するために使用できます。

要約(オリジナル)

Deep neural networks have been known to be vulnerable to adversarial examples, which are inputs that are modified slightly to fool the network into making incorrect predictions. This has led to a significant amount of research on evaluating the robustness of these networks against such perturbations. One particularly important robustness metric is the robustness to minimal l2 adversarial perturbations. However, existing methods for evaluating this robustness metric are either computationally expensive or not very accurate. In this paper, we introduce a new family of adversarial attacks that strike a balance between effectiveness and computational efficiency. Our proposed attacks are generalizations of the well-known DeepFool (DF) attack, while they remain simple to understand and implement. We demonstrate that our attacks outperform existing methods in terms of both effectiveness and computational efficiency. Our proposed attacks are also suitable for evaluating the robustness of large models and can be used to perform adversarial training (AT) to achieve state-of-the-art robustness to minimal l2 adversarial perturbations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google