個別の敵対者から多様な敵対者へ: CVPR 2023 は一般化可能な多様な敵対的攻撃を探求します

99% の精度を誇る顔認識システムは本当に破られないのでしょうか?実際、顔認識システムは、視覚的な判断に影響を与えない範囲で顔写真を変更するだけで簡単に破られ、たとえば、隣の女の子と男性有名人が同一人物であると判断されてしまう可能性があり、これは敵対的攻撃です。敵対的攻撃の目的は、自然でニューラル ネットワークを混乱させる可能性のある敵対的サンプルを見つけることです。本質的に、敵対的サンプルを見つけることは、ニューラル ネットワークの脆弱性を見つけることです。

最近、東方理工大学の研究チームは、

従来の「点」攻撃モードを「面」攻撃モードに昇格させる、汎用多様体敵対的攻撃 (GMAA) のパラダイムを提案しました は、敵対的攻撃モデルの一般化能力を大幅に向上させ、敵対的攻撃の仕組みに関する新しいアイデアを開発します。

この研究は、ターゲット ドメインと敵対的ドメインの 2 つの側面から以前の研究を改善します。この研究では、ターゲット ドメインに関して、ターゲット ID の一連の状態を攻撃することにより、高度な一般化を備えたより強力な敵対的な例を発見しました。敵対的ドメインについては、以前の研究では離散的な敵対的サンプル、つまりシステムのいくつかの「抜け穴」(ポイント)を探していましたが、この研究では連続的な敵対的多様体、つまりニューラルの脆弱な統合部分を探しています。ネットワークのピース「エリア」（面）。さらに、この研究では、式編集のドメイン知識を導入し、式状態空間インスタンス化に基づく新しいパラダイムを提案します。生成された敵対的多様体を継続的にサンプリングすることで、表現が連続的に変化する一般化性の高い敵対的サンプルを取得できますメイクアップ、ライティング、摂動の追加などの手法と比較して、

表現状態空間はより普遍的で自然であり、影響を受けません性別や照明による影響。 研究論文が CVPR 2023 に受理されました。

論文リンク: 論文を表示するにはここをクリックしてください

書き直す必要がある内容は次のとおりです: コード リンク https://github.com/ tokaka22/GMAA

導入方法

ターゲット ドメイン部分では、これまでの作業は、ターゲット アイデンティティ A の特定の写真に対する敵対的サンプルを設計することでした。ただし、図 2 に示すように、この攻撃手法によって生成された敵対的サンプルを使用して A の別の写真を攻撃すると、攻撃効果は大幅に減少します。このような攻撃に直面した場合、顔認識データベース内の写真を定期的に変更することは当然効果的な防御策です。ただし、この研究で提案されている GMAA は、ターゲット ID の単一サンプルでトレーニングするだけでなく、ターゲット ID 状態のセットを攻撃できる敵対的サンプルも探します。

このような高度に一般化された敵対的サンプルは、更新された顔認識ライブラリに直面します。攻撃性能が向上します。 これらのより強力な敵対的な例は、ニューラル ネットワークの弱い領域にも対応しており、徹底的に調査する価値があります。

敵対的分野のこれまでの研究では、通常、1 つまたは複数の個別の敵対的サンプルを探します。これは、高次元空間でニューラル ネットワークが脆弱な 1 つまたは複数の「点」を見つけるのと同じです。しかし、この研究では、ニューラル ネットワークは「顔」全体にわたって脆弱である可能性があるため、この「顔」上ですべての敵対的な例を見つける必要があると考えています。したがって、この研究の目標は、高次元空間で敵対的多様体を見つけることです。

要約すると、GMAA は、

敵対的多様体を使用してターゲット ID の状態セットを攻撃する新しい攻撃パラダイムです 。

この記事の中心となるアイデアである図 1 を参照してください。

具体的には、この研究導入された顔面動作コーディング システム (FACS) は、提案された新しい攻撃パラダイムをインスタンス化するためのドメイン知識として使用されます。 FACS は顔の表情を符号化するシステムです。顔を異なる筋肉単位に分割します。AU ベクトルの各要素は筋肉単位に対応します。ベクトル要素のサイズは、対応する単位の筋肉活動を表し、それによって表情状態を符号化します。 . .たとえば、以下の図では、AU ベクトルの最初の要素 AU1 は、眉頭の引き上げの程度を表します。

#「眉毛の解剖学」より「顔の表情」

ターゲット フィールドについては、この研究は複数の表情状態を含むターゲット セットを攻撃して、未知のターゲット写真に対する攻撃パフォーマンスを向上させることを目的としています。敵対的フィールドについては、この研究は 1 つの表情状態を確立することを目的としています。 AU 空間と 1 対 1 に対応 敵対的多様体、AU の値を変更することで、敵対的多様体上で敵対的サンプルをサンプリングできます AU の値を継続的に変更することで、式が連続的に変化する敵対的サンプルを生成できます

この調査では、式状態空間を使用して GMAA 攻撃パラダイムをインスタンス化していることは注目に値します。これは、表情が人間の顔の活動において最も一般的な状態であり、表情状態空間が比較的安定しており、人種や性別の影響を受けないためです (光によって肌の色が変わり、メイクが性別に影響する可能性があります) 。実際、他の適切な状態空間が見つかる限り、この攻撃パラダイムは一般化して、本質的に他の敵対的攻撃タスクに適用できます。

書き直す必要がある内容は次のとおりです: モデルの結果

この調査の視覚的な結果を以下のアニメーションに示します。アニメーションの各フレームは、敵対的多様体でのサンプリングによって取得された敵対的サンプルです。連続サンプリングでは、表現が連続的に変化する一連の敵対的な例を取得できます (左)。アニメーション内の赤色の値は、現在のフレームの敵対的サンプルと顔認識システムのターゲット サンプル (右側) の間の類似性を表します。

表 1 , 列 2 つのデータセットに対する 4 つの顔認識モデルのブラック ボックス攻撃の成功率が示されています。このうち、MAA は GMAA の縮小版であり、ポイント攻撃モデルを敵対的ドメインの多様な攻撃に拡張するだけであり、ターゲット ドメインでは依然として単一のターゲット写真を攻撃します。攻撃対象の状態セットは一般的な実験設定であり、記事では表2のMAAを含む3つの手法にこの設定を追加しています（表中の太字部分はこの設定を追加した結果です。表2では（A「G」）区別するためにメソッド名の前に が追加されます)。これは、ターゲット ドメインの拡張によって敵対的サンプルの一般化が改善できることを検証します。

# 図 4 は、2 つの結果を示しています。商用の顔認識システム API に対する攻撃の API

内容は次のように書き換えられます。この研究では、さまざまな表現が攻撃パフォーマンスに及ぼす影響や、サンプルの調査も行われています。状態セット 攻撃汎化パフォーマンスに対する量の影響

図 6 に、さまざまな方法の視覚的な結果の比較を示します。 。 MAA メソッドは、敵対的マニホールド上で 20 の敵対的サンプルをサンプリングしました。結果から、視覚化効果がより自然であることがわかります。

もちろん、すべてのデータ セットに次のものが含まれるわけではありません。さまざまなステータス写真。この場合、対象フィールドのデータをどのように展開すればよいでしょうか？この研究では、AU ベクトルと式編集モデルを使用して一連のターゲット状態を生成するという実現可能な解決策を提案します。研究では、合成されたターゲット状態セットを攻撃した結果も示されており、その結果、汎化パフォーマンスが向上していることが示されています。

書き直す必要がある内容は、 : 原理と方法

書き換えられた内容: モデルのコア部分には、WGAN-GP ベースの生成モジュール、式監視モジュール、伝達性強化モジュール、および一般化攻撃モジュールが含まれます。このうち、一般化攻撃モジュールは攻撃対象状態の集約機能を実現し、転送性強化モジュールはこれまでの研究成果に基づいており、公正な比較のためにすべてのベンチマークモデルに追加されています。式監視モジュールは 4 つの訓練された式エディターで構成され、グローバル構造監視とローカル詳細監視を通じて敵対的サンプルの式変換を実現します。

#式監視モジュールに関しては、論文 サポート資料は、対応するアブレーション実験を提供します。これにより、局所詳細監視により、生成された画像のアーティファクトとぼやけが軽減され、敵対的サンプルの視覚的品質が効果的に向上し、敵対的サンプルの表現合成の精度も向上できることが検証されます

さらに、この論文では、

連続敵対的多様体と意味論的連続敵対的多様体の概念を定義し、生成された敵対的多様体とAUベクトル空間同相同型性を詳細に証明します。

要約とは、既存の情報や経験を導き出し、一般化することです。これは、最も重要なアイデアと結論を抽出することを目的として、考えを整理して要約するプロセスです。要約することは、学んだことをより深く理解し、記憶するのに役立ち、また、より良くコミュニケーションし、自分のアイデアを共有するのにも役立ちます。要約することで、複雑な情報を単純化し、核心部分まで抽出することができ、理解しやすく、応用しやすくなります。要約は学習とコミュニケーションのプロセスにおいて重要なツールであり、大量の情報をより効率的に処理して利用するのに役立ちます。勉強でも仕事でも生活でも、要約することは必須のスキルです

まとめると、この研究はGMAAと呼ばれる新しい攻撃パラダイムを提案すると同時に、対象領域と対策を拡大しました。ドメイン、攻撃のパフォーマンスを向上させます。ターゲット ドメインの場合、GMAA は単一のイメージではなく状態のコレクションを攻撃することで、ターゲットのアイデンティティへの一般化能力を向上させます。さらに、GMAA は、敵対的ドメインを離散点から意味的に連続した敵対的多様体 (「点から面」) に拡張します。この研究では、式編集のドメイン知識を導入することにより、GMAA 攻撃パラダイムを具体化します。広範な比較実験により、GMAA は他の競合モデルよりも優れた攻撃パフォーマンスとより自然なビジュアル品質を備えていることが証明されています。

以上が個別の敵対者から多様な敵対者へ: CVPR 2023 は一般化可能な多様な敵対的攻撃を探求しますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。