A Perturbation Resistant Transformation and Classification System for Deep Neural Networks

要約

深い畳み込みニューラル ネットワークは、さまざまな範囲の自然画像を正確に分類しますが、画像に知覚できない摂動が埋め込まれていると、簡単にだまされる可能性があります。
この論文では、攻撃にとらわれず、簡単に推定できない多面的なトレーニング、入力変換、および画像アンサンブル システムを設計します。
私たちのシステムには、2 つの新しい機能が組み込まれています。
1 つ目は、クラスレベルのトレーニング データ サンプルから特徴レベルの多項式カーネルを計算し、特徴カーネルの違いに基づいて推論時に入力画像のコピーを繰り返し更新して、変換された入力のアンサンブルを作成する変換レイヤーです。
2 つ目は、無防備なネットワークの予測と、フィルター処理された画像の集合に対する厳しい投票を組み合わせた分類システムです。
CIFAR10 データセットでの評価では、クリーンな画像の精度をほとんど犠牲にすることなく、さまざまな距離メトリックの下でさまざまな制限付きおよび制限なしのホワイト ボックス攻撃に対する防御されていないネットワークの堅牢性がシステムによって向上することが示されています。
エンドツーエンド攻撃を作成する適応型の完全な知識の攻撃者に対して、私たちのシステムは、私たちの方法が最も効果的に適用される、敵対的に訓練されたネットワークの既存の堅牢性をうまく強化します。

要約(オリジナル)

Deep convolutional neural networks accurately classify a diverse range of natural images, but may be easily deceived when designed, imperceptible perturbations are embedded in the images. In this paper, we design a multi-pronged training, input transformation, and image ensemble system that is attack agnostic and not easily estimated. Our system incorporates two novel features. The first is a transformation layer that computes feature level polynomial kernels from class-level training data samples and iteratively updates input image copies at inference time based on their feature kernel differences to create an ensemble of transformed inputs. The second is a classification system that incorporates the prediction of the undefended network with a hard vote on the ensemble of filtered images. Our evaluations on the CIFAR10 dataset show our system improves the robustness of an undefended network against a variety of bounded and unbounded white-box attacks under different distance metrics, while sacrificing little accuracy on clean images. Against adaptive full-knowledge attackers creating end-to-end attacks, our system successfully augments the existing robustness of adversarially trained networks, for which our methods are most effectively applied.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google