Attacking Adversarial Defences by Smoothing the Loss Landscape

要約

このホワイトペーパーでは、敵対者がナビゲートするのが難しいと感じる、ノイズの多い、不連続な、またはその他の険しい損失ランドスケープを作成することに成功の一部を負っている、敵対者の攻撃を防御するための一連の方法を調査します。
この効果を達成するための一般的ではあるが普遍的ではない方法は、確率的ニューラル ネットワークを使用することです。
これが勾配難読化の一形態であることを示し、損失関数の表面を滑らかにし、より信頼性の高い勾配推定を提供する Weierstrass 変換に基づく勾配ベースの攻撃者への一般的な拡張を提案します。
さらに、同じ原理が勾配のない敵を強化できることを示します。
このタイプの難読化のために堅牢性を示す確率的および非確率的な敵対的防御の両方に対する損失平滑化方法の有効性を示します。
さらに、それが変換に対する期待とどのように相互作用するかの分析を提供します。
確率的防御を攻撃するために現在使用されている一般的な勾配サンプリング方法。

要約(オリジナル)

This paper investigates a family of methods for defending against adversarial attacks that owe part of their success to creating a noisy, discontinuous, or otherwise rugged loss landscape that adversaries find difficult to navigate. A common, but not universal, way to achieve this effect is via the use of stochastic neural networks. We show that this is a form of gradient obfuscation, and propose a general extension to gradient-based adversaries based on the Weierstrass transform, which smooths the surface of the loss function and provides more reliable gradient estimates. We further show that the same principle can strengthen gradient-free adversaries. We demonstrate the efficacy of our loss-smoothing method against both stochastic and non-stochastic adversarial defences that exhibit robustness due to this type of obfuscation. Furthermore, we provide analysis of how it interacts with Expectation over Transformation; a popular gradient-sampling method currently used to attack stochastic defences.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google