Generating Robust Adversarial Examples against Online Social Networks (OSNs)

要約

オンライン ソーシャル ネットワーク (OSN) は、現代の画像の一般的な送信チャネルとして開花しました。
ディープ ニューラル ネットワーク (DNN) を誤解させるように意図的に設計された敵対的サンプル (AE) は、OSN によって実行される不可避の損失を伴う操作に対して脆弱であることが判明しています。
その結果、AE は OSN 経由で送信された後、攻撃能力を失います。
この研究では、OSN 送信に耐えることができる堅牢な AE を生成するための新しいフレームワークを設計することを目的としています。
つまり、OSN 送信前後の AE はいずれも強力な攻撃能力を持っています。
この目的を達成するために、我々はまず、OSN によって実行されるさまざまな操作をシミュレートするための、SImulated OSN (SIO) と呼ばれる微分可能なネットワークを提案します。
具体的には、SIO ネットワークは 2 つのモジュールで構成されます。1) ユビキタス JPEG 圧縮を近似するための微分可能な JPEG 層、2) 残りの操作を模倣するためのエンコーダ/デコーダ サブネットワーク。
次に、SIO ネットワークに基づいて、SIO を通過するモデル出力と通過しないモデル出力の両方を誤解させることにより、堅牢な AE を生成する最適化フレームワークを定式化します。
Facebook、WeChat、QQ 上で行われた広範な実験により、特に歪みの制約が小さい場合に、当社の攻撃方法が既存のアプローチよりも強力な AE を生成することが実証されました。
攻撃成功率 (ASR) に関するパフォーマンスの向上は 60% 以上になる可能性があります。
さらに、Facebook、WeChat、または QQ によって処理された 10,000 ペアを超える AE を含む公開データセットを構築し、堅牢な AE 生成における将来の研究を促進します。
データセットとコードは https://github.com/csjunjun/RobustOSN Attack.git で入手できます。

要約(オリジナル)

Online Social Networks (OSNs) have blossomed into prevailing transmission channels for images in the modern era. Adversarial examples (AEs) deliberately designed to mislead deep neural networks (DNNs) are found to be fragile against the inevitable lossy operations conducted by OSNs. As a result, the AEs would lose their attack capabilities after being transmitted over OSNs. In this work, we aim to design a new framework for generating robust AEs that can survive the OSN transmission; namely, the AEs before and after the OSN transmission both possess strong attack capabilities. To this end, we first propose a differentiable network termed SImulated OSN (SIO) to simulate the various operations conducted by an OSN. Specifically, the SIO network consists of two modules: 1) a differentiable JPEG layer for approximating the ubiquitous JPEG compression and 2) an encoder-decoder subnetwork for mimicking the remaining operations. Based upon the SIO network, we then formulate an optimization framework to generate robust AEs by enforcing model outputs with and without passing through the SIO to be both misled. Extensive experiments conducted over Facebook, WeChat and QQ demonstrate that our attack methods produce more robust AEs than existing approaches, especially under small distortion constraints; the performance gain in terms of Attack Success Rate (ASR) could be more than 60%. Furthermore, we build a public dataset containing more than 10,000 pairs of AEs processed by Facebook, WeChat or QQ, facilitating future research in the robust AEs generation. The dataset and code are available at https://github.com/csjunjun/RobustOSNAttack.git.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google