LP-BFGS attack: An adversarial attack based on the Hessian with limited pixels

要約

タイトル：限られたピクセルを使ったヘシアンに基づく敵対的攻撃「LP-BFGSアタック」

要約：

– ディープニューラルネットワークは敵対的攻撃に脆弱である。
– 現在、白箱攻撃においてはモデルの勾配を入力に検針に用いた$L_{0}$-normをベースにした敵対的攻撃が一般的である。
– ヘシアン行列を用いた白箱攻撃の計算コストとメモリ制限の問題から、ヘシアン行列や近似ヘシアン行列を用いた攻撃はあまり行われていない。
– 本研究では、摂動に関するスパースネスの要件は、ヘシアン情報の利用に自然に向いていると指摘した。
– 特に、統合勾配法で計算されたトップ-kの属性スコアを持つピクセルをLP-BFGSアタックの最適化変数として用いることを提案し、ピクセル選択戦略とBFGSアルゴリズムを組み合わせた「Limited Pixel BFGS (LP-BFGS) Attack」を提案した。
– 異なるネットワークやデータセット間の実験結果から、既存のソリューションと比較して、さまざまな摂動ピクセルの数において同等の攻撃能力と合理的な計算時間を持つことが示された。

要約(オリジナル)

Deep neural networks are vulnerable to adversarial attacks. Most $L_{0}$-norm based white-box attacks craft perturbations by the gradient of models to the input. Since the computation cost and memory limitation of calculating the Hessian matrix, the application of Hessian or approximate Hessian in white-box attacks is gradually shelved. In this work, we note that the sparsity requirement on perturbations naturally lends itself to the usage of Hessian information. We study the attack performance and computation cost of the attack method based on the Hessian with a limited number of perturbation pixels. Specifically, we propose the Limited Pixel BFGS (LP-BFGS) attack method by incorporating the perturbation pixel selection strategy and the BFGS algorithm. Pixels with top-k attribution scores calculated by the Integrated Gradient method are regarded as optimization variables of the LP-BFGS attack. Experimental results across different networks and datasets demonstrate that our approach has comparable attack ability with reasonable computation in different numbers of perturbation pixels compared with existing solutions.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI