arXiv reaDer
敵対的な例の検出のためのモデルの不確実性と信頼性の再検討
Revisiting Model's Uncertainty and Confidences for Adversarial Example Detection
ディープニューラルネットワーク(DNN)に依存するセキュリティに敏感なアプリケーションは、敵対的な例(AE)を生成するように作成された小さな摂動に対して脆弱です。 AEは人間には認識されず、DNNがそれらを誤分類する原因になります。多くの防御および検出技術が提案されています。モデルの不確実性を推定する一般的な方法として、モデルの信頼度とドロップアウトがAE検出に使用されていますが、ブラックボックス攻撃とグレーボックス攻撃に対しては限られた成功しか示していません。さらに、最先端の検出技術は、特定の攻撃または他の人による破壊のために設計されており、攻撃に関する知識が必要であり、一貫性がなく、モデルパラメータのオーバーヘッドが増加し、時間がかかり、推論時間に遅延があります。これらの要因をトレードオフするために、モデルの不確実性と信頼性を再検討し、1)SelectiveNetと呼ばれる不確実性手法を使用し、2)モデルレイヤーの出力、つまり特徴マップを処理して新しい信頼性確率を生成する、新しい教師なしアンサンブルAE検出メカニズムを提案します。検出方法は、選択的および機能ベースの敵対的検出(SFAD)と呼ばれます。実験結果は、提案されたアプローチが、最先端の方法よりもブラックボックスおよびグレーボックス攻撃に対して優れたパフォーマンスを達成し、ホワイトボックス攻撃に対して同等のパフォーマンスを達成することを示しています。さらに、結果は、SFADがMNISTのHigh Confidence Attacks(HCA)に対して完全に堅牢であり、CIFAR10データセットに対して部分的に堅牢であることを示しています。
Security-sensitive applications that rely on Deep Neural Networks (DNNs) are vulnerable to small perturbations that are crafted to generate Adversarial Examples(AEs). The AEs are imperceptible to humans and cause DNN to misclassify them. Many defense and detection techniques have been proposed. Model's confidences and Dropout, as a popular way to estimate the model's uncertainty, have been used for AE detection but they showed limited success against black- and gray-box attacks. Moreover, the state-of-the-art detection techniques have been designed for specific attacks or broken by others, need knowledge about the attacks, are not consistent, increase model parameters overhead, are time-consuming, or have latency in inference time. To trade off these factors, we revisit the model's uncertainty and confidences and propose a novel unsupervised ensemble AE detection mechanism that 1) uses the uncertainty method called SelectiveNet, 2) processes model layers outputs, i.e.feature maps, to generate new confidence probabilities. The detection method is called Selective and Feature based Adversarial Detection (SFAD). Experimental results show that the proposed approach achieves better performance against black- and gray-box attacks than the state-of-the-art methods and achieves comparable performance against white-box attacks. Moreover, results show that SFAD is fully robust against High Confidence Attacks (HCAs) for MNIST and partially robust for CIFAR10 datasets.
updated: Mon Jun 21 2021 15:21:49 GMT+0000 (UTC)
published: Tue Mar 09 2021 11:06:15 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト