ズームイン・ズームアウトによる敵対的攻撃!
3つの要点
✔️ ズームイン・ズームアウトを使って対象物の特徴を変えずにDNNを欺く手法
✔️ 敵対的摂動を加えない、唯一の敵対的攻撃手法
✔️ 敵対的訓練によって、提案手法の攻撃に対する防御の方法のガイドラインを提示
Adversarial Zoom Lens: A Novel Physical-World Attack to DNNs
written by Chengyin Hu, Weiwen Shi
(Submitted on 23 Jun 2022)
Comments: Published on arxiv.
Subjects: Cryptography and Security (cs.CR); Artificial Intelligence (cs.AI); Computer Vision and Pattern Recognition (cs.CV); Machine Learning (cs.LG)
code:
本記事で使用している画像は論文中のもの、紹介スライドのもの、またはそれを参考に作成したものを使用しております。
研究背景と概要
DNNを欺くような攻撃を、敵対的攻撃といいます。敵対的攻撃の多くは、画像に人間では知覚できないような摂動を加えることで分類器を欺くという手法です。しかし、物理的なシーンにおいては、カメラで撮影した画像を分類器に入力して分類するので、微妙なノイズはカメラからは見えなくなってしまいます。
物理敵対攻撃には、以下のような課題があります。
- 印刷後のわずかなデジタル誤差をとらえることが困難
- 完璧に敵対的摂動を印刷することが困難(印刷ロス)
- 攻撃のロバスト性と隠ぺい性の両立が困難
これらの課題を踏まえて、著者らはAdversarial Zoom Lens (AdvZL)と呼ばれる新しい物理的な敵対的攻撃を提案しています。AdvZLは、物理的な摂動がないので、上記に挙げたような物理敵対的攻撃の難しさを根本的に解決しています。
上の図は、物理環境における提案手法の攻撃の模式図です。自動運転車のカメラに搭載された自動ズームレンズによって車が道路標識を通過する際にズームイン・ズームアウトして、高度なDNNを欺くことができます。
著者らの貢献
著者らの主な貢献は以下の三つにまとめられます。
- ズームレンズを操作することで、物理的な妨害を加えることなく物理敵対的攻撃を実現する技術である、AdvZLを提案
- 拡大された画像がDNNを欺くことができることを検証するためのデータセットを構築
- デジタルテストと物理テストにより、AdvZLの有効性を検証
提案手法
データセットの生成(デジタル環境での攻撃)
ズームアップの方法は以下の図のように、Nピクセル幅を外枠からのぞいた後、元の大きさにリサイズします。
著者らの提案する攻撃サンプルのデータセットは、Imagenetから派生したもので、Imagenet-ZOOMIN (Imagenet-ZI)と著者らは呼んでいます。Imagenetの画像に対して、各画像の拡大率を10段階に変えてデータセットを作成しています。Nピクセルは6~60ピクセルに設定してあり、6ピクセル間隔で設定しています。
ズームレンズ攻撃(物理環境での攻撃)
デジタル環境では、Imagenet-ZOOMINをDNNに分類させることで、提案手法の有効性を検証します。物理環境では、ズームレンズによって写真の拡大縮小を行います。
物理環境での敵対的サンプル生成は、以下の手順で行います。
- 通常画像Xを異なる度合いで拡大・縮小し、ラベルYに対する分類器fの信頼スコアが最も小さい画像を敵対的サンプルの候補とします
- 候補の敵対的サンプルが分類器を欺くことができた場合、その敵対的サンプルを出力します
欺くことができるかどうかは分類器の閾値によるので、このような手順で敵対的サンプルを生成しています。
実験
AdvZLの評価
デジタル環境における50万件の敵対サンプルを含むImagenet-ZIデータセットで、AdvZLの有効性を検証します。下の表は、Imagenet-ZIデータセットに対するDNNの分類精度です。
この表を見ると、ズームの倍率が上がるほどすべてのDNNにおいて精度が低下していることがわかります。これは、画像の意味的特徴は変化しておらず、画像の拡大率が大きくなるほどDNNに対する攻撃が強くなっていることを示しています。このことは、DNNの欠点も明らかにしています。これらの分類器は、特定の距離で撮影された写真のデータセットで学習されます。画像を拡大する処理は、撮影者と被写体との距離が縮まることとみなせるので、画像の距離が変わると分類域は誤った分類判定をしていると考えられます。
次に、物理環境における評価を確認していきます。次の図は、物理環境下での敵対的サンプルの例と、そのときの予測結果を表しています。
この図からわかるように、画像が拡大されると敵対的なサンプルは分類器を欺くことになります。例えば、道路標識が携帯電話のカメラの焦点距離の1.3倍まで拡大されると、分類器はそれを信号と誤判定しています。
考察
モデルの減衰
CAMを用いて、敵対的サンプルに対するモデルの注目度表示グラフを確認しました。その結果が下の図になります。
この図からわかるように、画像を連続的に拡大するとモデルの注意力が徐々に弱まっていくことがわかります。
防御
敵対的訓練のため、モデルの頑健性を向上させるために、AdvZLによって生成された敵対的サンプルを訓練課程で追加します。その際の分類結果が下の図になります。
黄色が敵対的訓練なしの場合、緑が敵対的訓練ありの場合です。この図を見ると、ズーム率にかかわらず敵対的訓練によってモデルの精度が大きく改善することがわかります。
まとめ
本論文では、敵対的サンプルを生成するための新しい物理的敵対攻撃手法であるAdvZLを提案しました。敵対的摂動を用いない敵対サンプルの生成は新しいものなので、こういった方向の研究は面白いと思いました。
この記事に関するカテゴリー