Unfolding Local Growth Rate Estimates for (Almost) Perfect Adversarial Detection

要約

畳み込みニューラルネットワーク（CNN）は、多くの知覚タスクにおいて最先端のソリューションを定義している。しかし、現在のCNNアプローチは、人間の目にはほとんど知覚できないが、システムを欺くために特別に作られた、敵対的な入力の摂動に対してほとんど脆弱なままである。近年、このような攻撃からCNNを防御するために、モデルのハードニングや明示的な防御メカニズムの追加など、様々なアプローチが提案されている。これにより、小さな「検出器」がネットワークに組み込まれ、本物のデータと敵対的な摂動を含むデータとを区別する二値分類タスクで訓練される。本研究では、ネットワークの局所固有次元（LID）と敵対的攻撃との関係に関する最近の知見を活用した、シンプルで軽量な検出器を提案する。LID尺度の再解釈と幾つかの簡単な適応に基づき、我々は敵対的検出に関する最先端の技術を大幅に凌駕し、いくつかのネットワークとデータセットにおいてF1スコアの点でほぼ完璧な結果を達成した。情報源は以下より入手可能： https://github.com/adverML/multiLID

要約(オリジナル)

Convolutional neural networks (CNN) define the state-of-the-art solution on many perceptual tasks. However, current CNN approaches largely remain vulnerable against adversarial perturbations of the input that have been crafted specifically to fool the system while being quasi-imperceptible to the human eye. In recent years, various approaches have been proposed to defend CNNs against such attacks, for example by model hardening or by adding explicit defence mechanisms. Thereby, a small ‘detector’ is included in the network and trained on the binary classification task of distinguishing genuine data from data containing adversarial perturbations. In this work, we propose a simple and light-weight detector, which leverages recent findings on the relation between networks’ local intrinsic dimensionality (LID) and adversarial attacks. Based on a re-interpretation of the LID measure and several simple adaptations, we surpass the state-of-the-art on adversarial detection by a significant margin and reach almost perfect results in terms of F1-score for several networks and datasets. Sources available at: https://github.com/adverML/multiLID

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL