Adversarial Examples
MADRY, Aleksander, et al. Towards deep learning models resistant to adversarial attacks. arXiv preprint arXiv:1706.06083, 2017.(引用数1482)
*この記事は2020年4月17日に行った深層学習セミナーをもとに作成してます.
どういうもの
- NNに対する敵対的攻撃の新手法の開発とその攻撃手法を用いた防御策の提案.
敵対的摂動(Adversarial Perbutations)と敵対的データ(Adversarial Examples )
(*1)より
高い正解率(Acuuracy)を出す学習済みNNに対して、例えば画像では人間の目では何も変化していないような画像を入力したときに、出力クラスを間違えてしまうような事象が確認されている.
NNに対する攻撃手法とそれに対する防御策の図.
先行研究と並べて何がすごい?
これまでの攻撃手法と防御策
既存の攻撃手法は1階の勾配を用いてone stepでAdversarial Examplesを探索.
見つけたAdversarial Examplesを学習データに加えて再学習を行う.
例えば損失関数を
として学習する.
本論文での攻撃手法と防御策
- 1階の勾配を用いてmulti stepでAdversarial Examplesを探索.
->より強力なAdversarial Examplesを求めることができる.
- 見つけたAdversarial Examplesのみで学習を行う。
技法や手法の肝
$\theta$をNeral Network(NN)のパラメータ,$(x,y)$をデータ,$L$を損失関数とする.NNの学習では
の最小化問題を扱う.Adversarial Attackでは$S\subseteq \Rn$として
の最大化問題(入力の近傍内という意味でinner maximization)を扱う.
Adversarial Attackに対してNNをロバストにするためには
の最大値最小化問題を扱う.
以上によりAdversarial Attackではをより大きくするを探索するアルゴリズムが開発されている.既存のFast Gradient Sign Method(FGSM)(*2)でのadversarial examples の式は
である.は符号関数を表す.今回のPGD攻撃では近傍内でのを見つけるとき,
という更新式を用いてadversarial examplesを探索する.PGD攻撃のadversarial exampleは
である.(は更新回数).
実験とその他
2階以上の勾配情報は使わないのか.
SGDを代表とする勾配降下法では1階の勾配情報を用いているため,Adversarial Attackでは1階の勾配情報を用いれば十分.
パラメータ数の多いNN(表現能力の高いNN)はロバスト
下段のSimleはパラメータの少ないモデル,Wideはパラメータの多いモデルを表す.この結果から,パラメータ数の多いNNの方がよりロバストになることがわかる.またPGD攻撃を用いたAdversarial Trainingを受けたNNは既存の攻撃モデル(FGSM)に対してもロバストとなることがわかる.したがってPGD攻撃は強力な手法である.
PGD攻撃での更新式
で更新を行うと数列[tex:{xt}]が収束することが実験的にわかった.
上記の図の色は異なる初期点(20点)を表す.損失関数(Loss Value)はCross Entropy.fig1をみると初期点に関わらず,[tex:{xt}]が収束していることがわかる.またAdversarial trainingを行ったNNの方がより早く収束していることがわかる.
異なる初期点を[tex:105]個用意してPGD攻撃の更新式を収束するまで更新した結果の棒グラフである.赤色はAdversarial trainingを受けたNNで青色はStandard trainingを受けたNNである.Adversarial trainingを受けたNNの方がより値を集中させて収束していることがわかる.
PGD攻撃によるAdversarial Examplesの例
Reference
1:SZEGEDY, Christian, et al. Intriguing properties of neural networks. arXiv preprint arXiv:1312.6199*, 2013.
2:TRAMÈR, Florian, et al. The space of transferable adversarial examples. arXiv preprint arXiv:1704.03453*, 2017.
今後読むもの
TASHIRO, Yusuke; SONG, Yang; ERMON, Stefano. Output Diversified Initialization for Adversarial Attacks. arXiv preprint arXiv:2003.06878, 2020.https://arxiv.org/pdf/2003.06878.pdf