Real-time Detection of Practical Universal Adversarial Perturbations
Universal Adversarial Perturbations(UAP)は、システムの脆弱性を悪用し、ディープニューラルネットワーク(DNN)に対する物理的に実現可能で堅牢な攻撃を可能にする敵対的な例の著名なクラスです。 UAPは、多くの異なる入力にわたって一般化されます。これにより、大規模に適用できる現実的で効果的な攻撃が可能になります。この論文では、疑わしいニューロンの過剰活性化を特定することにより、UAPのリアルタイム検出を可能にする効率的でスケーラブルなアルゴリズムであるHyperNeuronを提案します。私たちの結果は、複数のタスク(画像分類、オブジェクト検出)、さまざまな普遍的な攻撃、および知覚的な広告ブロックや敵対的なパッチなどの現実的なシナリオでのHyperNeuronの有効性を示しています。 HyperNeuronは、既存のUAP防御と同等またはそれ以上のパフォーマンスで、敵対的なマスクとパッチUAPの両方を同時に検出できると同時に、画像あたりわずか0.86ミリ秒という大幅に短縮された遅延を導入します。これは、多くの現実的で実用的なユニバーサル攻撃をリアルタイムで確実に軽減できることを示唆しており、機械学習システムの堅牢な展開が期待されています。
Universal Adversarial Perturbations (UAPs) are a prominent class of adversarial examples that exploit the systemic vulnerabilities and enable physically realizable and robust attacks against Deep Neural Networks (DNNs). UAPs generalize across many different inputs; this leads to realistic and effective attacks that can be applied at scale. In this paper we propose HyperNeuron, an efficient and scalable algorithm that allows for the real-time detection of UAPs by identifying suspicious neuron hyper-activations. Our results show the effectiveness of HyperNeuron on multiple tasks (image classification, object detection), against a wide variety of universal attacks, and in realistic scenarios, like perceptual ad-blocking and adversarial patches. HyperNeuron is able to simultaneously detect both adversarial mask and patch UAPs with comparable or better performance than existing UAP defenses whilst introducing a significantly reduced latency of only 0.86 milliseconds per image. This suggests that many realistic and practical universal attacks can be reliably mitigated in real-time, which shows promise for the robust deployment of machine learning systems.
updated: Sat May 22 2021 23:33:20 GMT+0000 (UTC)
published: Sun May 16 2021 03:01:29 GMT+0000 (UTC)
