[2020] Towards Achieving Adversarial Robustness by Enforcing Feature Consistency Across Bit Planes

[gatheluck]

論文リンク

• arXiv

公開日（yyyy/mm/dd）

2020/04/01 CVPR2020

概要

人間は本来、画像の主な特徴に基づいて画像を知覚し、低ビットプレーンに埋め込まれたノイズを無視します。これに対して、DNNは、人間の目にはほとんど感知できないような細心の注意を払って加工された画像を、自信を持って誤って分類してしまうことが知られている。本研究では、上位ビットプレーンの情報に基づいて粗い印象を形成し、下位ビットプレーンは予測を洗練させるためにのみ使用するようにネットワークを訓練することで、この問題に対処しようとするものである。異なる量子化された画像間で学習された表現に一貫性を課すことで、通常の訓練を受けたモデルと比較して、ネットワークの敵対的頑健性が大幅に向上することを実証した。現在の最新の敵対的攻撃に対する防御策では、ネットワークを明示的に学習するために、計算量の多い敵対的サンプルを用いて学習する必要がある。このような敵対的学習を用いた手法が最良の結果を達成し続けているが，本研究では，敵対的サンプルを用いて明示的に学習しなくてもロバスト性を達成できるようにする方法を提案する．提案されたアプローチは、そのため、より高速であり、人間の自然な学習プロセスに近いものとなっています。

TeX

% 2020/04/01
@inproceedings{
    ma2020achieving,
    title={Towards Achieving Adversarial Robustness by Enforcing Feature Consistency Across Bit Planes},
    author={Chengcheng Ma and Baoyuan Wu and Shibiao Xu and Yanbo Fan and Yong Zhang and Xiaopeng Zhang and Zhifeng Li},
    booktitle=CVPR,
    year={2020}
}

[gatheluck]

Problem (want to solve)

AEsに対する頑健性を向上させたい。人間は「大きなスケールで特徴を捉え、印象を強めるために詳細情報を使用」している。この背景知識が無いのが脆弱性の原因と考えられるので、これを学習させたい。

[gatheluck]

Novelty

• 制約項：Bit Plane Feature Consistency (BPFC) を提案。AEsを学習に使用せずに頑健性の向上を達成。
• 高速に学習が可能。（PGD-ATより3〜10倍高速）

[gatheluck]

Result

• PGD-ATには劣るが、BPFCが頑健性の向上に有効であることを確認。（攻撃：linf-PGD, Table 1, 3）
• DeepFoolやC&Wなどに対してはPGD-ATよりも頑健であることを確認。（CIFAR-10, Table 5）
• Black-boxの設定でもPGD-ATには劣るが、BPFCの有効性を確認。（CIFAR-10, Table 6）

[gatheluck]

Sanity Check

5.7章でObfuscated Gradientでは無いことを確認している。