Dynamics-aware Adversarial Attack of Adaptive Neural Networks

要約

この論文では、適応ニューラルネットワークのダイナミクスを意識した敵対的攻撃の問題を調査します。
ほとんどの既存の敵対的攻撃アルゴリズムは、基本的な仮定の下で設計されています。つまり、ネットワーク アーキテクチャは攻撃プロセス全体で固定されています。
ただし、この仮定は、計算効率を向上させるために入力に基づいて不要な実行ユニットを適応的に非アクティブ化する、最近提案された多くの適応型ニューラル ネットワークには当てはまりません。
これにより、勾配の遅れという深刻な問題が発生し、その後のアーキテクチャの変更により、現在のステップで学習した攻撃が無効になります。
この問題に対処するために、先行勾配法 (LGM) を提案し、遅延勾配の重要な効果を示します。
より具体的には、ネットワーク アーキテクチャの動的な変化の可能性を認識できるように勾配を再定式化し、ネットワーク アーキテクチャが動的に変化する場合に、学習した攻撃が、ダイナミクスを認識しない方法よりも次のステップをより適切に「導く」ようにします。
2D 画像と 3D 点群の両方に対する適応型ニューラル ネットワークの代表的なタイプに関する広範な実験は、LGM が動的非認識攻撃方法と比較して印象的な敵対的攻撃パフォーマンスを達成することを示しています。

要約(オリジナル)

In this paper, we investigate the dynamics-aware adversarial attack problem of adaptive neural networks. Most existing adversarial attack algorithms are designed under a basic assumption — the network architecture is fixed throughout the attack process. However, this assumption does not hold for many recently proposed adaptive neural networks, which adaptively deactivate unnecessary execution units based on inputs to improve computational efficiency. It results in a serious issue of lagged gradient, making the learned attack at the current step ineffective due to the architecture change afterward. To address this issue, we propose a Leaded Gradient Method (LGM) and show the significant effects of the lagged gradient. More specifically, we reformulate the gradients to be aware of the potential dynamic changes of network architectures, so that the learned attack better ‘leads’ the next step than the dynamics-unaware methods when network architecture changes dynamically. Extensive experiments on representative types of adaptive neural networks for both 2D images and 3D point clouds show that our LGM achieves impressive adversarial attack performance compared with the dynamic-unaware attack methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google