Multiple Perturbation Attack: Attack Pixelwise Under Different $\ell_p$-norms For Better Adversarial Performance

要約

敵対的機械学習は、特に現在の状況でのディープ ニューラル ネットワークのユビキタスな使用において、最近の主要な関心事であり、ホットなトピックでもあります。
敵対的な攻撃と防御は通常、時間の経過とともに防御側と攻撃側が進化するいたちごっこに例えられます。
一方で、目標は、悪意のあるアクターに耐性のある強力で堅牢なディープ ネットワークを開発することです。
一方で、それを達成するためには、これらの防御モデルに挑戦するために、さらに強力な敵対的攻撃を考案する必要があります。
既存の攻撃のほとんどは、単一の $\ell_p$ 距離 (通常は $p\in\{1,2,\infty\}$) を使用して近さの概念を定義し、最も急な勾配上昇 w.r.t. を実行します。
この $p$-norm は、敵対的な例のすべてのピクセルを同じ方法で更新します。
これらの $\ell_p$ 攻撃にはそれぞれ長所と短所があります。
また、複数の $\ell_p$ 規範に対して堅牢な防御モデルを同時に突破できる単一の攻撃はありません。
これらの観察に動機付けられて、私たちは自然なアプローチを考え出しました: さまざまな $\ell_p$ 勾配射影をピクセル レベルで組み合わせて、共同の敵対的摂動を実現します。
具体的には、攻撃のパフォーマンスを最大化するために各ピクセルを摂動する方法を学びますが、敵対的な例の全体的な視覚的知覚を維持します。
最後に、標準化されたベンチマークを使用したさまざまな実験を通じて、視覚的にクリーンな状態を維持する能力を維持しながら、最先端の防御メカニズム全体で最新の強力な攻撃よりも優れていることを示します。

要約(オリジナル)

Adversarial machine learning has been both a major concern and a hot topic recently, especially with the ubiquitous use of deep neural networks in the current landscape. Adversarial attacks and defenses are usually likened to a cat-and-mouse game in which defenders and attackers evolve over the time. On one hand, the goal is to develop strong and robust deep networks that are resistant to malicious actors. On the other hand, in order to achieve that, we need to devise even stronger adversarial attacks to challenge these defense models. Most of existing attacks employs a single $\ell_p$ distance (commonly, $p\in\{1,2,\infty\}$) to define the concept of closeness and performs steepest gradient ascent w.r.t. this $p$-norm to update all pixels in an adversarial example in the same way. These $\ell_p$ attacks each has its own pros and cons; and there is no single attack that can successfully break through defense models that are robust against multiple $\ell_p$ norms simultaneously. Motivated by these observations, we come up with a natural approach: combining various $\ell_p$ gradient projections on a pixel level to achieve a joint adversarial perturbation. Specifically, we learn how to perturb each pixel to maximize the attack performance, while maintaining the overall visual imperceptibility of adversarial examples. Finally, through various experiments with standardized benchmarks, we show that our method outperforms most current strong attacks across state-of-the-art defense mechanisms, while retaining its ability to remain clean visually.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google