Countering Adversarial Images using Input Transformations [ICLR2018]

論文リンク

概要

・Adversarial Examplesに対して、Input transformationによる解決法の効果を分析した。・input transformationとは、画像をモデルに入力する前に特定の前処理を施すことで、bit-depth reduction, JPEG compression, total variance minimization, image quiltingを含む。

結果

結論

Input transformationにおいて、重要なポイントは、・Non-differentiable ・Randomization であるという2つのポイント。

この二つのポイントによって、AEは効果的ではなくなる。 Total variance minimizationやimage quiltingが、bit-depth reduction, JPEG compressionより効果的だったのは、前者がこの2つのポイントを抑えているのに対し、後者はdeterministicであったからである。

先行研究との差異

手法のキモ

評価方法

議論

・input transformationは、black boxな攻撃にはかなり強い。しかしwhite boxな攻撃に対しては依然として脆弱となってしまう。

・シンプルで簡単な手法であるため、他の手法と組み合わせるのも簡単。

Sosuke115 / paper-reading