畳み込みニューラルネットワーク(CNN)は、インテリジェントビークルなどのモバイルロボット工学にますます適用されています。ロボットアプリケーションにおけるCNNのセキュリティは重要な問題であり、CNNに対する潜在的な敵対的攻撃は調査する価値があります。プーリングは、CNNでの次元削減と情報破棄の典型的なステップです。このような情報の破棄は、ネットワークの出力に大きな影響を与えるデータ機能の誤った削除と誤った保存をもたらす可能性があります。これは、敵対的攻撃に対するCNNの脆弱性を悪化させる可能性があります。本稿では、プーリングの脆弱性を調査・悪用することにより、ネットワーク構造の観点からCNNに対して敵対的攻撃を行います。最初に、Strict Layer-Output Manipulation(SLOM)という名前の新しい敵対的攻撃手法が提案されます。次に、SLOMスピリットのインスタンス化であるStrict Pooling Manipulation(SPM)に基づく攻撃方法を設計して、ターゲットCNNに対するタイプIとタイプIIの両方の敵対的攻撃を効果的に実現します。さまざまな深度でのSPMに基づく攻撃のパフォーマンスも調査され、比較されます。さらに、CNNのさまざまな操作レイヤーでSLOMスピリットをインスタンス化することによって設計された攻撃方法のパフォーマンスを比較します。実験結果は、プーリングがCNNの他の操作よりも敵対的攻撃に対して脆弱である傾向があることを反映しています。
Convolutional neural networks (CNN) have been more and more applied in mobile robotics such as intelligent vehicles. Security of CNNs in robotics applications is an important issue, for which potential adversarial attacks on CNNs are worth research. Pooling is a typical step of dimension reduction and information discarding in CNNs. Such information discarding may result in mis-deletion and mis-preservation of data features which largely influence the output of the network. This may aggravate the vulnerability of CNNs to adversarial attacks. In this paper, we conduct adversarial attacks on CNNs from the perspective of network structure by investigating and exploiting the vulnerability of pooling. First, a novel adversarial attack methodology named Strict Layer-Output Manipulation (SLOM) is proposed. Then an attack method based on Strict Pooling Manipulation (SPM) which is an instantiation of the SLOM spirit is designed to effectively realize both type I and type II adversarial attacks on a target CNN. Performances of attacks based on SPM at different depths are also investigated and compared. Moreover, performances of attack methods designed by instantiating the SLOM spirit with different operation layers of CNNs are compared. Experiment results reflect that pooling tends to be more vulnerable to adversarial attacks than other operations in CNNs.