敵対的な例に対して画像操作検出器を保護するためのランダムな深い特徴選択の有効性
Effectiveness of random deep feature selection for securing image manipulation detectors against adversarial examples
標的型攻撃に対するフォレンジック検出器の堅牢性を改善するために[1]で提案されたランダムな特徴選択アプローチを、深層学習機能に基づいた検出器に拡張できるかどうかを調査します。特に、元のネットワークの平坦化層から抽出された特徴のランダムなサブセットに依存する他の検出器(完全に接続されたニューラルネットワークと線形SVM)への元のCNN画像操作検出器を対象とする敵対的な例の転送可能性を研究します。 3つの画像操作検出タスク(サイズ変更、中央値フィルタリング、適応ヒストグラム均等化)、2つの元のネットワークアーキテクチャ、3つのクラスの攻撃を検討することで得られた結果は、場合によっては単純に、機能のランダム化が攻撃の転送可能性を妨げるのに役立つことを示しています検出器のアーキテクチャを変更したり、検出器を再トレーニングしたりするだけで、攻撃の転送可能性を防ぐことができます。
We investigate if the random feature selection approach proposed in [1] to improve the robustness of forensic detectors to targeted attacks, can be extended to detectors based on deep learning features. In particular, we study the transferability of adversarial examples targeting an original CNN image manipulation detector to other detectors (a fully connected neural network and a linear SVM) that rely on a random subset of the features extracted from the flatten layer of the original network. The results we got by considering three image manipulation detection tasks (resizing, median filtering and adaptive histogram equalization), two original network architectures and three classes of attacks, show that feature randomization helps to hinder attack transferability, even if, in some cases, simply changing the architecture of the detector, or even retraining the detector is enough to prevent the transferability of the attacks.
updated: Thu Dec 26 2019 11:37:28 GMT+0000 (UTC)
published: Fri Oct 25 2019 10:33:32 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト