On Inherent Adversarial Robustness of Active Vision Systems

要約

現在のディープ ニューラル ネットワークは、慎重に作成されたノイズを追加することで予測を変更する敵対的な例に対して脆弱です。
人間の目はそのような入力に対して強いため、すべてのピクセルを同じ重要度で処理することで入力をワンショットで処理する標準的な方法に脆弱性が生じている可能性があります。
対照的に、神経科学は、人間の視覚システムが、(1) 複数の注視点 (サッケード) を切り替えること、および (2) 不均一な外部解像度 (中心窩) で周囲を処理することによって、顕著な特徴を区別できることを示唆しています。
この研究では、このようなアクティブ ビジョン メカニズムを現在の深層学習システムに統合することで堅牢性の利点が得られると主張しています。
具体的には、ブラック ボックス脅威モデルの下で 2 つのアクティブ ビジョン メソッド (GFNet と FALcon) の固有の堅牢性を実験的に実証します。
入力内の複数の異なる注視点から得られたダウンサンプリングされた一瞥に基づいて学習および推論することにより、これらのアクティブな手法は、最先端の敵対的攻撃の下で、標準的なパッシブ畳み込みネットワークと比較して (2 ～ 3) 倍優れた堅牢性を達成することを示します。
。
さらに重要なことは、明確な注視点から推論を実行することでアクティブ ビジョン メソッドが悪意のある入力に対してどのように脆弱になるかを示す、説明的で解釈可能な視覚化分析を提供することです。

要約(オリジナル)

Current Deep Neural Networks are vulnerable to adversarial examples, which alter their predictions by adding carefully crafted noise. Since human eyes are robust to such inputs, it is possible that the vulnerability stems from the standard way of processing inputs in one shot by processing every pixel with the same importance. In contrast, neuroscience suggests that the human vision system can differentiate salient features by (1) switching between multiple fixation points (saccades) and (2) processing the surrounding with a non-uniform external resolution (foveation). In this work, we advocate that the integration of such active vision mechanisms into current deep learning systems can offer robustness benefits. Specifically, we empirically demonstrate the inherent robustness of two active vision methods – GFNet and FALcon – under a black box threat model. By learning and inferencing based on downsampled glimpses obtained from multiple distinct fixation points within an input, we show that these active methods achieve (2-3) times greater robustness compared to a standard passive convolutional network under state-of-the-art adversarial attacks. More importantly, we provide illustrative and interpretable visualization analysis that demonstrates how performing inference from distinct fixation points makes active vision methods less vulnerable to malicious inputs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google