Adversarial Ink: Componentwise Backward Error Attacks on Deep Learning

要約

ディープニューラルネットワークは、多くの分類タスクにおいて最先端の性能を発揮することができる。しかし、ディープニューラルネットワークは、敵対的攻撃（入力に対する小さな摂動が分類の変更につながる）に対して脆弱であることが知られている。我々は、数値解析で有用であることが証明された概念である後方誤差と条件数の観点から、この問題に取り組む。そのために、Beuzevilleら(2021)の研究を基にする。特に、成分的に相対的な摂動を使用する新しいクラスの攻撃アルゴリズムを開発する。このような攻撃は、例えば、署名、郵便番号、日付、または数値量の分類が、背景ではなくインクの一貫性だけを変えることで変更される可能性がある、手書き文書または印刷テキストの場合に非常に関連します。このため、肉眼で見ると、乱れた画像は自然に見えます。このような「敵対的インク」攻撃は、安全やセキュリティに深刻な影響を与える可能性のある弱点を明らかにするものである。本論文では、実データを用いた新しい攻撃方法を説明し、既存のアルゴリズムと比較検討する。また、脆弱性を定量化するための成分的条件数の使用についても研究する。

要約(オリジナル)

Deep neural networks are capable of state-of-the-art performance in many classification tasks. However, they are known to be vulnerable to adversarial attacks — small perturbations to the input that lead to a change in classification. We address this issue from the perspective of backward error and condition number, concepts that have proved useful in numerical analysis. To do this, we build on the work of Beuzeville et al. (2021). In particular, we develop a new class of attack algorithms that use componentwise relative perturbations. Such attacks are highly relevant in the case of handwritten documents or printed texts where, for example, the classification of signatures, postcodes, dates or numerical quantities may be altered by changing only the ink consistency and not the background. This makes the perturbed images look natural to the naked eye. Such “adversarial ink” attacks therefore reveal a weakness that can have a serious impact on safety and security. We illustrate the new attacks on real data and contrast them with existing algorithms. We also study the use of a componentwise condition number to quantify vulnerability.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL