Open futakw opened 3 years ago
https://arxiv.org/abs/1711.00117
・Adversarial Examplesに対して、Input transformationによる解決法の効果を分析した。 ・input transformationとは、画像をモデルに入力する前に特定の前処理を施すことで、bit-depth reduction, JPEG compression, total variance minimization, image quiltingを含む。
Input transformationにおいて、重要なポイントは、 ・Non-differentiable ・Randomization であるという2つのポイント。
この二つのポイントによって、AEは効果的ではなくなる。 Total variance minimizationやimage quiltingが、bit-depth reduction, JPEG compressionより効果的だったのは、前者がこの2つのポイントを抑えているのに対し、後者はdeterministicであったからである。
・input transformationは、black boxな攻撃にはかなり強い。しかしwhite boxな攻撃に対しては依然として脆弱となってしまう。
・シンプルで簡単な手法であるため、他の手法と組み合わせるのも簡単。
論文リンク
https://arxiv.org/abs/1711.00117
概要
・Adversarial Examplesに対して、Input transformationによる解決法の効果を分析した。 ・input transformationとは、画像をモデルに入力する前に特定の前処理を施すことで、bit-depth reduction, JPEG compression, total variance minimization, image quiltingを含む。
結果
結論
Input transformationにおいて、重要なポイントは、 ・Non-differentiable ・Randomization であるという2つのポイント。
この二つのポイントによって、AEは効果的ではなくなる。 Total variance minimizationやimage quiltingが、bit-depth reduction, JPEG compressionより効果的だったのは、前者がこの2つのポイントを抑えているのに対し、後者はdeterministicであったからである。
先行研究との差異
手法のキモ
評価方法
議論
・input transformationは、black boxな攻撃にはかなり強い。しかしwhite boxな攻撃に対しては依然として脆弱となってしまう。
・シンプルで簡単な手法であるため、他の手法と組み合わせるのも簡単。
関連論文