論文の概要、ライセンス

# (参考訳) スペクトルDefense:フーリエ領域におけるCNNの敵攻撃の検出 [全文訳有]

SpectralDefense: Detecting Adversarial Attacks on CNNs in the Fourier Domain ( http://arxiv.org/abs/2103.03000v1 )

ライセンス: CC BY 4.0
Paula Harder, Franz-Josef Pfreundt, Margret Keuper, Janis Keuper(参考訳) 多くのコンピュータビジョンや画像解析タスクにおける畳み込みニューラルネットワーク(CNN)の成功にもかかわらず、それらはいわゆる敵対的な攻撃に対して脆弱のままです。 防御は敵の例を検出することである。 本稿では,入力画像と特徴マップのフーリエ領域における解析を用いて,良質なテストサンプルと敵画像の区別を行う方法を示す。 第1報では,入力画像の大きさスペクトルを用いて敵の攻撃を検出する手法を提案する。 このシンプルで堅牢な分類器は、3つの一般的な攻撃方法の敵対的摂動をうまく検出できます。 第2の方法は、第1に構築され、さらにネットワークの異なる層における特徴マップのフーリエ係数の位相を抽出する。 この拡張により、5つの異なる攻撃方法における最先端検出器と比較して、敵検出率を向上させることができる。

Despite the success of convolutional neural networks (CNNs) in many computer vision and image analysis tasks, they remain vulnerable against so-called adversarial attacks: Small, crafted perturbations in the input images can lead to false predictions. A possible defense is to detect adversarial examples. In this work, we show how analysis in the Fourier domain of input images and feature maps can be used to distinguish benign test samples from adversarial images. We propose two novel detection methods: Our first method employs the magnitude spectrum of the input images to detect an adversarial attack. This simple and robust classifier can successfully detect adversarial perturbations of three commonly used attack methods. The second method builds upon the first and additionally extracts the phase of Fourier coefficients of feature-maps at different layers of the network. With this extension, we are able to improve adversarial detection rates compared to state-of-the-art detectors on five different attack methods.
公開日: Thu, 4 Mar 2021 12:48:28 GMT

※ 翻訳結果を表に示しています。PDFがオリジナルの論文です。翻訳結果のライセンスはCC BY-SA 4.0です。詳細はトップページをご参照ください。

翻訳結果

    Page: /      
英語(論文から抽出)日本語訳スコア
SpectralDefense: Detecting Adversarial Attacks on SpectralDefense: 敵の攻撃を検出する 0.76
CNNs in the Fourier Domain フーリエ領域におけるCNN 0.66
Paula Harder1,2,3, Franz-Josef Pfreundt1, Margret Keuper4, and Janis Keuper5,1 1Competence Center High Performance Computing, Fraunhofer ITWM, Kaiserslautern, Germany Paula Harder1,2,3, Franz-Josef Pfreundt1, Margret Keuper4, Janis Keuper5,1 Competence Center High Performance Computing, Fraunhofer ITWM, Kaiserslautern 0.83
2Scientic Computing, University of Kaiserslautern, Kaiserlautern, Germany 2Scientic Computing, University of Kaiserslautern, Kaiserlautern (ドイツ語) 0.87
3Fraunhofer Center Machine Learning, Germany 3Fraunhofer Center Machine Learning, Germany 0.97
4Data and Web Science Group, University of Mannheim, Germany ドイツ・マンハイム大学4Data and Web Science Group 0.68
5Institute for Machine Learning and Analytics (IMLA), Offenburg University, Germany ドイツのオッテンブルク大学,5institute for machine learning and analytics (imla) 0.78
1 2 0 2 r a M 4 ] V C . 1 2 0 2 r a m 4 ] v c である。 0.79
s c [ 1 v 0 0 0 3 0 . s c [ 1 v 0 0 0 3 0 . 0.85
3 0 1 2 : v i X r a 3 0 1 2 : v i X r a 0.85
samples from adversarial サンプル 敵対者から 0.66
Abstract—Despite the success of convolutional neural networks (CNNs) in many computer vision and image analysis tasks, they remain vulnerable against so-called adversarial attacks: Small, crafted perturbations in the input images can lead to false predictions. 抽象 — 多くのコンピュータビジョンや画像解析タスクにおいて畳み込みニューラルネットワーク(CNN)の成功にもかかわらず、それらはいわゆる敵攻撃に対して脆弱なままである。 0.63
A possible defense is to detect adversarial examples. 防御は敵の例を検出することである。 0.68
In this work, we show how analysis in the Fourier domain of input images and feature maps can be used to distinguish benign test images. 本研究では,入力画像と特徴図のフーリエ領域における解析が良性画像の識別にどのように利用できるかを示す。 0.80
We propose two novel detection methods: Our first method employs the magnitude spectrum of the input images to detect an adversarial attack. 第1報では,入力画像の大きさスペクトルを用いて敵の攻撃を検出する手法を提案する。 0.65
This simple and robust classifier can successfully detect adversarial perturbations of three commonly used attack methods. このシンプルで堅牢な分類器は、3つの一般的な攻撃方法の敵対的摂動をうまく検出できます。 0.60
The second method builds upon the first and additionally extracts the phase of Fourier coefficients of feature-maps at different layers of the network. 第2の方法は、第1に構築され、さらにネットワークの異なる層における特徴マップのフーリエ係数の位相を抽出する。 0.77
With this extension, we are able to improve adversarial detection rates compared to state-of-the-art detectors on five different attack methods. この拡張により、5つの異なる攻撃方法における最先端検出器と比較して、敵検出率を向上させることができる。 0.55
The code for the methods proposed in the paper is available at github.com/paulahard er/SpectralAdversari alDefense Index Terms—adversarial attacks, adversarial detection, image classification, convolutional neural networks 論文で提案されている手法のコードはgithub.com/paulahard er/spectraladversari al defense index terms—adversarial attack, adversarial detection, image classification, convolutional neural networksで入手できる。 0.75
I. INTRODUCTION Convolutional neural networks have been significantly improving the results in many computer vision and image analysis tasks, especially in the field of image classification [1], [2]. 私。 導入 畳み込みニューラルネットワークは、特に画像分類[1],[2]の分野で、多くのコンピュータビジョンおよび画像解析タスクの結果を大幅に改善しています。 0.66
Yet, the predictions of neural networks can easily be manipulated, as shown in [3]. しかし、ニューラルネットワークの予測は、[3]に示すように、簡単に操作できます。 0.72
An image changed by only a small amount, imperceptible for a human observer, is then misclassified by the neural model. 人間の観察者には知覚できない少量の画像だけに変化した画像は、神経モデルによって誤分類される。 0.73
Those perturbed images, called adversarial examples, have drawn a lot of attention recently. それらの乱れた画像は、adversarial examplesと呼ばれ、最近多くの注目を集めている。 0.60
One reason is the possible lack of security they might cause. 1つの理由は、彼らが引き起こす可能性のあるセキュリティの欠如です。 0.61
As shown in [4], an autonomous car could be fooled to mistake a stop sign for a 45mph speed limit, simply by adding small tapes at the right location. 4]に示すように、自動走行車は、適切な場所に小さなテープを追加するだけで、停止標識を45mphの速度制限で間違える可能性がある。 0.79
Although various countermeasures have already been suggested in the literature, new defense mechanisms have often been broken quickly again [5]. 文献にはすでに様々な対策が提案されているが, 新たな防御機構はすぐに破られることが多い[5]。 0.78
Adversarial defenses can mainly be divided into two categories. 敵防衛は主に2つのカテゴリに分けられる。 0.74
One way is to modify the neural network architecture or the training techniques, the other way is to preprocess an input before feeding samples into the network. ひとつはニューラルネットワークアーキテクチャやトレーニングテクニックを変更すること、もうひとつは、サンプルをネットワークに送る前にインプットを前処理することだ。 0.75
In the first category, 第1のカテゴリーでは 0.82
Fig. 1. Differences between attacked and normal image in the pixel and the frequency domain. フィギュア。 1. 画素と周波数領域における攻撃画像と正常画像の差異 0.68
The image belongs to the CIFAR-10 test set and is attacked with the Basic Iterative Method (BIM) for the VGG-16 network. 画像はCIFAR-10テストセットに属し、VGG-16ネットワークのための基本的な反復方法(BIM)で攻撃されます。 0.77
The maximum perturbation is set to ε = 0.03 and the attack succeeds on the entire dataset. 最大摂動はε = 0.03に設定され、攻撃はデータセット全体で成功する。 0.78
The power spectrum is plotted logarithmically. 電力スペクトルは対数的にプロットされる。 0.64
the most widely used approach so far is adversarial training [3], where adversarial examples are added to the training set and the network is trained not to be fooled by them. 現時点では最も広く使用されているアプローチは、トレーニングセットに敵の例を追加し、ネットワークが騙されないようにトレーニングする、敵のトレーニング[3]である。 0.70
But to successfully defend against orchestrated attacks, a vast amount of training data is necessary. しかし、組織的な攻撃に対してうまく防御するには、大量のトレーニングデータが必要である。 0.64
Methods belonging to the second category are for instance using JPEG compression [6], adding noise to images, or just detecting attacked images. 第2のカテゴリに属するメソッドは、JPEG圧縮[6]を使用したり、画像にノイズを追加したり、攻撃された画像を検出したりする。 0.67
Many detection methods based on PCA [7], [8] or other statistical properties have been introduced, but often they have been PCA[7]、[8]、その他の統計特性に基づく多くの検出手法が導入されたが、しばしば導入されてきた。
訳抜け防止モード: PCA [7 ], [8 ] に基づく多くの検出方法 あるいは他の統計特性も導入されましたが しばしば彼らは
0.89
英語(論文から抽出)日本語訳スコア
found to be only effective on simple problems like the MNIST dataset [5]. MNISTデータセット[5]のような単純な問題にのみ有効であることが判明しました。 0.65
Some approaches use a second neural network to classify adversarial and non-adversarial images [9]. いくつかのアプローチでは、敵対的画像と非敵対的画像の分類に第2のニューラルネットワークを使用します [9]。 0.53
However, Carlini and Wagner [5] show that by extending the attack, this second neural network can be fooled as well. しかしながら、Carliini氏とWagner氏[5]は、攻撃を拡張することで、この第2のニューラルネットワークも騙せることを示しています。
訳抜け防止モード: しかし、Carliini と Wagner [5 ] はそれを示している。 攻撃を延ばすことで この第2のニューラルネットワークも騙せる。
0.77
This kind of attack is called a secondary attack. このような攻撃は二次攻撃と呼ばれる。 0.82
two novel detection methods, In this work, we present utilizing the Fourier domain representation of an image or its feature maps, to decide whether it is a benign or an adversarial image. 2つの新しい検出方法, 本研究では, 画像のフーリエ領域表現とその特徴写像を用いて, 良性画像か逆像かを決定する。
訳抜け防止モード: 本研究では2つの新しい検出法を提案する。 画像またはその特徴マップのフーリエドメイン表現を利用する。 良性のイメージか 逆のイメージか 判断します
0.74
Employing the Fourier spectrum to extract features imperceptible to human eyes has shown to be successful before, for example, to detect Deepfakes [10], [11]. 例えば、Deepfakes[10],[11]を検出するために、Fourierスペクトルを用いて人間の目では認識できない特徴を抽出することが成功している。 0.77
As the adversarial perturbations depend on and interact with the image content, they are usually hard to grasp at a pixel level. 逆の摂動は画像コンテンツに依存して相互作用するので、通常はピクセルレベルでの把握が困難である。 0.75
Yet, we argue that a spatial-invariant representation such as the Fourier spectrum facilitates to discern of such subtle but systematic modifications. しかし、フーリエスペクトルのような空間不変表現は、このような微妙だが体系的な修正を識別しやすくする。 0.69
The first proposed method employs the Magnitude Fourier Spectrum (MFS) of an input image to detect an adversarial example. 最初の提案方法は、入力画像のMagnitude Fourier Spectrum(MFS)を使用して、逆例を検出する。 0.81
Unlike almost all existing detection methods, our first method does not need any access to the underlying network, it only depends on the input images. 既存のほとんどの検出方法とは異なり、最初の方法は基盤となるネットワークへのアクセスを一切必要とせず、入力画像にのみ依存する。 0.79
This simplicity provides many potential advantages, such as less computation time and better transferability properties. このシンプルさは、計算時間の短縮や転送性の向上など、多くの潜在的な利点をもたらします。 0.57
We evaluate our proposed method on different attacks, the early fast gradient sign method (FGSM) [3], two of its advances, the basic iterative method (BIM) [12] and the projected gradient descent (PGD) [13] and the Deepfool [14] and Carlini & Wagner [15] methods. 提案手法は, 初期速勾配符号法 (FGSM) [3], その2つの進歩, 基本反復法 (BIM) [12] と射影勾配降下法 (PGD) [13] とDeepfool [14] と Carlini & Wagner [15] で評価した。 0.67
Besides the effects of different attack methods we also investigate how an adversarial attack impacts different frequencies in the Fourier domain and what differences are in the phase and the magnitude spectrum. 異なる攻撃方法の効果に加えて、敵対攻撃がフーリエ領域の異なる周波数にどのように影響するか、および位相とマグニチュードスペクトルの違いについても検討します。 0.78
Our first method appears to be very successful on images attacked by FGSM, PGD, and BIM, but less successful on Deepfool and C&W. 最初の方法はFGSM,PGD,BIMによる画像に対して非常に成功したが,Deepfool,C&Wでは成功しなかった。 0.79
In order to succeed on advanced attacks like Deepfool [14] and Carlini & Wagner attack [15] we need the response of the network to an adversarial attack to detect it. Deepfool[14]やCarlini & Wagner攻撃[15]のような高度な攻撃を成功させるためには、それを検出するための敵対攻撃に対するネットワークの応答が必要です。 0.82
For our second method, the Fourier spectrum of feature maps is used. 2つ目の方法として、特徴写像のフーリエスペクトルを用いる。 0.71
Both spectra, the magnitude Fourier spectrum (MFS) and the phase Fourier spectrum (PFS) are considered. スペクトル、マグニチュードフーリエスペクトル(MFS)と位相フーリエスペクトル(PFS)の両方が考慮される。 0.71
Employing the feature maps of every other activation layer method the PFS performs very well on all five attack methods. 他のアクティベーション層メソッドのすべての特徴マップを利用することで、PFSは5つの攻撃方法すべてで非常によく機能する。
訳抜け防止モード: 他のアクティベーション層メソッドの特徴マップの利用 PFSは5つの攻撃方法すべてで非常によく機能します。
0.85
We evaluate our methods on the CIFAR-10 and the CIFAR100 data sets [16], using a VGG-16 [17] target architecture in both cases. CIFAR-10 と CIFAR100 データセット [16] について,VGG-16 [17] ターゲットアーキテクチャを用いて評価を行った。 0.78
For each correctly classified image we generate an adversarial counterpart, using the different attack methods. 正しく分類された各画像に対して、異なる攻撃方法を用いて敵対的な画像を生成する。 0.64
On all successfully attacked images (or feature-maps for the second method) and their non-adversarial counterpart, a Fourier transformation is applied, using two-dimensional discrete Fourier transformation (DFT). 2次元離散フーリエ変換(DFT)を用いて、攻撃された全ての画像(または第2の手法のための特徴写像)とその非逆変換に対してフーリエ変換を適用する。 0.66
For both methods, we train a standard Logistic Regression on all extracted features to classify an image as adversarial or non-adversarial. いずれの方法においても,抽出されたすべての特徴に対して標準ロジスティック回帰を訓練し,画像を逆あるいは非逆として分類する。 0.55
We compare our approaches to two state-of-the-art detectors, the Local Intrinsic Dimensionality (LID) [18] and the Mahalanobis Distance (M-D) [19] detectors. このアプローチを、LID(Local Intrinsic Dimensionality)[18]とMahalanobis Distance(M-D)[19]の2つの最先端の検出器と比較します。 0.74
For all five different attacks, our methods perform better on CIFAR-10 than the existing detectors. 5つの異なるもの 我々の手法は既存の検出器よりもCIFAR-10の方が優れている。 0.71
For CIFAR-100 we achieve better scores for three methods and similar scores for the other methods. CIFAR-100では、3つのメソッドでより良いスコア、他のメソッドで同様のスコアを得る。 0.57
Our main contributions can be summarized as follows: • We introduce two novel detection methods for adversarial examples based on an analysis in the Fourier domain • One of the proposed methods is a simple detector that only uses the input images, without any need of access to the network, employing the magnitude of Fourier coefficients • The other, more complex method, using the phase Fourier spectrum of feature maps, improves detection performance compared to state-of-the-art II. 提案手法の1つは、入力画像のみを使用し、ネットワークへのアクセスを必要とせず、フーリエ係数のマグニチュードを利用する単純な検出器であり、もう1つは、特徴写像のフーリエスペクトルを用いたより複雑な方法であり、現状と比較すると検出性能が向上する。
訳抜け防止モード: 主な貢献は以下のとおりである。 そこで,本稿では,Fourier領域における解析に基づく2つの新しい逆例検出手法を紹介した。 ネットワークへのアクセスを必要とせず、フーリエ係数の等級を利用する • もう一つのより複雑な方法は、特徴写像の位相フーリエスペクトルを使用する。 State - of - the - Art II と比較すると,検出パフォーマンスが向上する。
0.79
RELATED WORK A. Adversarial Detection Many recent works have focused on adversarial detection, trying to distinguish adversarial from natural images. 関連作業 A. 対人検出 最近は対人検出に焦点をあて、対人検出と自然画像の区別を試みている。 0.62
In [7] Hendrycks & Gimpel show that adversarial examples have higher weights for larger principal components of the images’ decomposition and use this finding to train a detector. 7] Hendrycks & Gimpel では、逆の例は、画像の分解の主要なコンポーネントの重みが高く、この発見を使用して検出器を訓練しています。
訳抜け防止モード: In [ 7 ] Hendrycks & Gimpel shows that adversarial example has higher weights for larger principal components of the image ’ decomposition この発見を使って 検出器を訓練するのです
0.85
Both Li et al [8] and Bhagoji et al [20] leverage PCA as well, one by looking at the values after the inner convolutional layers the other to reduce their dimensionality. Li et al [8] と Bhagoji et al [20] も PCA を活用し、内側の畳み込み層の後の値を見て、その寸法を小さくします。
訳抜け防止モード: Li et al [8 ] と Bhagoji et al [20 ] も PCA を利用している。 一つは 内部の畳み込み層の後 値を見て その次元を減らし
0.68
Based on the responses of the neural networks’ final layer Feinman et al [21] define two metrics, the kernel density estimation and the Bayesian neural network uncertainty to identify adversarial perturbation. ニューラルネットワークの最終層Feinman et al [21]の応答に基づいて、カーネル密度推定とベイズニューラルネットワークの不確実性という2つの指標を定義し、逆の摂動を特定します。
訳抜け防止モード: ニューラルネットワークの最終層Feinman et al [21]の応答に基づいて、2つのメトリクスを定義します。 カーネル密度推定とベイズニューラルネットワークの不確実性 逆の摂動を特定するためです
0.74
Liu et al [22] proposed a method to detect adversarial examples by leveraging steganalysis and estimating the probability of modifications caused by adversarial attacks. Liu et al [22] は、ステガナリシスを利用して敵の攻撃による変化の確率を推定し、敵の事例を検出する方法を提案した。 0.59
Grosse et al [23] used the statistical test of maximum mean discrepancy to detect adversarial samples. Grosse et al [23] は, 対向検体を検出するために, 平均誤差の統計検査を行った。
訳抜け防止モード: Grosse et al [23 ] は最大平均誤差の統計的テストを用いた 敵のサンプルを検出できるのです
0.77
Using the correlation between helpful images based on influence functions and the k-nearest neighbors in the embedding space of the DNN, Cohen et al [24] proposed an adversarial detector. 影響関数に基づく有用な画像と,DNNの埋め込み空間におけるk-アネレスト近傍との相関を利用して,Cohenら[24]は対向検出器を提案した。 0.77
Besides the statistical analysis of the input images, adding a second neural network to decide whether an image is an adversarial example is another possibility. 入力画像の統計的解析に加えて、画像が逆例であるかどうかを判断する第2のニューラルネットワークを追加することが別の可能性である。 0.68
Metzen et al [9] proposed a model that is trained on outputs of multiple intermediate layers. Metzen et al [9]は、複数の中間層の出力を訓練するモデルを提案した。 0.80
As Carlini & Wagner state [5], the problem of a second neural network is that it can be easily circumvented by a so-called secondary attack. Carlini & Wagner氏が[5]で述べているように、第2のニューラルネットワークの問題は、いわゆる二次攻撃によって容易に回避できることである。 0.69
Two strong and popular detectors are the Local Intrinsic Dimensionality (LID) [18] and the Mahalanobis Distance (M-D) [19] detectors. 2つの強くて人気のある検出器は、局所内次元(LID)[18]とマハラノビス距離(M-D)[19]検出器です。 0.74
Ma et al used the Local Intrinsic Dimensionality as a characteristic of adversarial subspaces and identified attacks using this measure. Ma et al は、対角部分空間の特徴として局所固有次元を使い、この測度を用いて攻撃を特定した。 0.55
Lee et al computed the empirical mean and covariance for each training sample and then calculated the Mahalanobis distance between a test sample and its nearest class-conditional Gaussians. Lee et alは各トレーニングサンプルの実証平均と共分散を計算し、テストサンプルと最も近いクラス条件ガウスの間のマハラノビス距離を計算した。 0.82
B. Fourier Analysis of Adversarial Attacks Tsuzuku & Sato [25] showed that convolutional neural networks are sensitive in the direction of Fourier basis functions of the images’ decomposition, especially in the context of universally adversarial attacks, and proposed a Fourier based attack method. B. 対人攻撃のフーリエ解析 ツツク&サト [25] は、畳み込みニューラルネットワークは、特に普遍的な対人攻撃の文脈において、画像の分解のフーリエ基底関数の方向に敏感であることを示し、フーリエベースの攻撃方法を提案した。 0.75
Investigating trade-offs between Gaussian data ガウスデータのトレードオフ調査 0.65
英語(論文から抽出)日本語訳スコア
augmentation and adversarial training Yin et al [26] take a Fourier perspective and observe that adversarial examples are not only a high-frequency phenomenon. augmentation and adversarial training Yin et al [26] take a Fourier perspective and observed the adversarial examples is only a high- frequency phenomenon。 0.80
In [27] it is assumed that internal responses of a DNN model follow the generalized Gaussian distribution, both for benign and adversarial examples, but with different parameters. 27]では、DNNモデルの内部応答は、良性例と逆性例の両方に対して一般化されたガウス分布に従うが、異なるパラメータを持つと仮定される。 0.77
They extract the feature maps at each layer in the classification network and calculate the Benford-Fourier coefficients for all of these representations. 彼らは分類ネットワークの各層の特徴マップを抽出し、これらのすべての表現のベンフォード・ファーリエ係数を計算します。 0.76
A Support Vector Machine is then trained on the concatenation of these. サポートベクトルマシンは、これらの結合に基づいて訓練される。 0.71
III. DATA GENERATION III。 データ生成 0.66
A. Attack Methods For our in-depth analysis, we generate test data using the five most commonly used attack methods. A。 攻撃方法 詳細な分析では、最もよく使われている5つの攻撃方法を用いてテストデータを生成する。 0.71
1) Fast Gradient Method: The Fast Gradient Sign Method (FGSM) [3] is an early gradient-based method, which is especially fast. 1)高速勾配法:高速勾配符号法(fgsm)[3]は早期勾配に基づく手法であり,特に高速である。
訳抜け防止モード: 1 ) Fast Gradient Method : The Fast Gradient Sign Method (FGSM) [3 ]は、初期のグラデーションベースの方法です。 特に速いかどれが。
0.88
The gradient of the loss function J(X, y) is calculated with respect to the input X. 損失関数J(X,y)の勾配は入力Xに対して算出される。 0.66
A perturbation size ε is chosen to subtract the sign of the gradient scaled by ε and a target class yt is selected. εでスケールした勾配の符号を減算するために摂動サイズεが選択され、ターゲットクラスytが選択される。 0.78
The adversarial example is therefore calculated as follows: したがって、逆の例は次のように計算される。 0.55
X adv = X − εsign(∇X J(X, yt)). X adv = X − εsign(X J(X, yt)) である。 0.96
2) Basic Iterative Method: The Basic Iterative Method (BIM) [12] is an advancement of the FGSM. 2)基本的な反復法:基本的な反復法(BIM)[12]はFGSMの進歩です。
訳抜け防止モード: 2) 基本的な反復法 The Basic Iterative Method (BIM ) [ 12 ] is a advancement of the FGSM。
0.78
The FGSM is applied iteratively with a small perturbation size. FGSMは小さな摂動サイズで反復的に適用されます。 0.74
After each iteration the pixel values are clipped to not exceed the perturbation size ε. 各イテレーションの後、ピクセル値は摂動サイズεを超えないようにクリップされる。 0.71
The adversarial example is generated as follows: 逆の例は以下の通り生成される。 0.72
X adv 0 = X, N +1 = ClipX,ε{X adv N − αsign(∇X J(X adv N , yt))}. X adv 0 = X, N +1 = ClipX,ε{X adv N − αsign(\X J(X adv N , yt))} である。 0.92
X adv 3) Projected Gradient Descent: The Projected Gradient Descent Method (PGD) [13] is similiar to the BIM, but a is initialized with uniform random noise. X adv 3) 投影グラデーションDescent: 投影グラデーションDescent Method (PGD) [13] はBIMと類似しているが、a は均一なランダムノイズで初期化される。 0.80
4) Deepfool: The Deepfool (DF) [14] method finds the closest decision boundary by iteratively perturbing an input image. 4)Deepfool: The Deepfool (DF) [14] method finds the most decision boundary by iteratively perturbing an input image。 0.78
As soon as the classification changes the algorithm stops. 分類が変わるとすぐにアルゴリズムが停止する。 0.76
5) Carlini&Wagner Method: For the Carlini&Wagner (C&W) method [15] has three versions, an L2, an L0 and an L∞ attack. 5) Carlini&Wagner 法: Carlini&Wagner (C&W) 法 [15] には、L2、L0、L∞ 攻撃の3つのバージョンがある。 0.86
We will employ the most commonly used L2 attack. 最も一般的なL2攻撃を採用します。 0.76
For a given image X this method generates an adversarial example X adv by solving the following optimization problem: min|| 1 2 With 与えられた画像 X に対して、この方法は次の最適化問題を解くことで逆例 X adv を生成する。 0.80
2 + c· f ( (tanh(X adv) + 1)− X||2 f (x) = max(Z(x)true − max i(cid:54)=true 2 + c· f ( (tanh(X adv) + 1)− X||2 f (x) = max(Z(x)true − max i(cid:54)=true 0.98
1 (tanh(X adv) + 1)). 1 (tanh(x adv) + 1)) である。 0.88
2 {Z(x)i}, 0), 2 {z(x)i}, 0) である。 0.81
where Z(x) is the pre-softmax classification result vector. Z(x) は、事前ソフトマックス分類結果ベクトルである。 0.80
The starting value for c is c = 10−3, a binary search is performed to then find the smallest c, such that f (X adv) ≤ 0. c の開始値は c = 10−3 であり、最小 c を見つけるために二進探索が行われ、f (X adv) ≤ 0 となる。 0.85
For all attacks we employ their untargeted version, which are stronger and harder to defend. すべての攻撃に対して、攻撃対象のないバージョンを採用しています。 0.61
B. Data Pipeline B。 データパイプライン 0.74
Fig. 2. Data pipeline: A VGG-16 trained on CIFAR-10/100 is applied to the CIFAR-10/100 test sets. フィギュア。 2. データパイプライン: CIFAR-10/100で訓練されたVGG-16がCIFAR-10/100のテストセットに適用される。 0.62
We only keep the correctly classified images. 正しく分類された画像のみを保持する。 0.66
On this subset, we apply our attack methods (FGSM, BIM, PGD, Deepfool, C&W) and only keep the successfully attacked one and their non-attack counterparts. このサブセットでは、攻撃方法(FGSM、BIM、PGD、Deepfool、C&W)を適用し、攻撃に成功したものとその攻撃しないもののみを保持します。 0.74
We then apply the DFT on all pairs of attacked and normal images and feed them into the input image detector. 次に、DFTを攻撃された画像と通常の画像のすべてに適用し、入力された画像検出器に供給する。
訳抜け防止モード: 次に、DFTを攻撃された画像と正常画像のすべてに適用する。 入力画像検出器に供給します
0.71
As stated by Carlini & Wagner [5], detection methods should not only be evaluated on MNIST but more complex datasets, therefore we evaluate on CIFAR-10 and CIFAR100. Carlini & Wagner [5] が述べているように、検出方法は MNIST だけでなく、より複雑なデータセットで評価されるべきであり、CIFAR-10 と CIFAR100 で評価する。 0.66
As the attacked neural network we choose the VGG16 convolutional neural network [17]. 攻撃されたニューラルネットワークとして、vgg16畳み込みニューラルネットワーク[17]を選択します。 0.61
The network is trained on the CIFAR-10/100 [16] training set, achieving 83.26% test accuracy on CIFAR-10 and 72.10% test accuracy on CIFAR100, using available open-source implementations1. ネットワークはCIFAR-10/100 [16]のトレーニングセットで訓練され、CIFAR-10では83.26%のテスト精度、CIFAR100では72.10%のテスト精度を達成した。 0.68
The correctly classified images from the CIFAR-10/100 test sets are then attacked by the different methods as described in III-A, using the python toolbox foolbox [28]. CIFAR-10/100テストセットから正しく分類された画像は、III-Aで記述された異なる方法によって攻撃される。 0.63
We use the default hyperparameters for each attack, as provided by the toolbox. ツールボックスが提供するように、各攻撃にデフォルトのハイパーパラメータを使用する。 0.72
We use L∞-BIM FGSM, and PGD attacks and L2-Deepfool and C&W attacks. 我々はL∞-BIM FGSMとPGDアタックとL2-DeepfoolとC&Wアタックを用いる。 0.69
In order to decrease the computation time, we set steps=1000 for the C&W attack. 計算時間を短縮するために、C&W攻撃のステップ=1000を設定します。 0.78
Only successfully attacked pictures and their original counterparts are then put into our final dataset. 攻撃に成功した写真とそのオリジナルの画像だけが、最終データセットに入れられます。 0.70
In this way, we create a balanced dataset. このように、バランスの取れたデータセットを作成します。 0.62
Most of the attack methods are 100% successful on CIFAR10, only the FGSM fools the network in just 95.9% of the time. ほとんどの攻撃方法はCIFAR10で100%成功しており、FGSMだけが95.9%の時間でネットワークを騙している。 0.88
For CIFAR-100 we use the same perturbation size, for FGSM, BIM, and PGD an attack success rate of about 98% is achieved, whereas Deepfool and C&W are again successful on the whole dataset. CIFAR-100では、FGSM、BIM、PGDと同じ摂動サイズを使用し、攻撃成功率は約98%を達成しましたが、DeepfoolとC&Wはデータセット全体で再び成功しています。 0.76
SUCCES RATES FOR DIFFERENT ATTACK METHODS ON CIFAR-10/100 AND VGG-16 NET. CIFAR-10/100とVGG-16網の異なるアタック方法の判定基準 0.57
THE FIRST COLUMN SHOWS THE USED ATTACK METHOD, THE SECOND COLUMN THE USED PERTURBATION SIZE FOR THE ATTACK METHOD AND THE THIRD AND FOURTH THE RATE OF 使用済みアタック方法のフルカラムショー、アタック方法に使用されたパーチャベーションサイズの第2カラム、およびその方法のコードとソース 0.43
TABLE I SUCCESSFULLY ATTACKED IMAGES テーブルI 画像攻撃に成功 0.50
Attack method FGSM BIM PGD Deepfool C&W 攻撃方法 FGSM BIM PGD Deepfool C&W 0.82
ε 0.03 0.03 0.03- ε 0.03 0.03 0.03- 0.49
CIF10 Success rate 0.959 1.0 1.0 1.0 1.0 CIF10成功率0.959 1.0 1.0 1.0 0.59
CIF100 Success rate 0.762 0.985 0.983 1.0 1.0 cif100 成功率 0.762 0.985 0.983 1.0 0.57
The rates for each method are reported in Table I, along with the used perturbation size ε. 各メソッドのレートは、使用する摂動サイズεとともに、テーブルiで報告される。 0.73
We choose the perturbation sizes small enough, not to visually distort the images, but large enough to be able to attack the network successfully. 我々は、画像を視覚的に歪ませるのではなく、ネットワークをうまく攻撃できるほどの大きさの摂動サイズを選択する。 0.73
The perturbation size is chosen smaller than in many other 1https://github.com/ kuangliu/pytorch-cif ar https://github.com/w eiaicunzai/pytorch-c ifar100 摂動サイズは、他の多くの1https://github.com/ kuangliu/pytorch-cif ar https://github.com/w eiaicunzai/pytorch-c ifar100より小さい。 0.45
英語(論文から抽出)日本語訳スコア
publications, for example [27]2 this makes detection harder but is also a more realistic case. 出版物、例えば[27]2 これは検出を難しくするが、より現実的なケースである。 0.83
In Figure 3 the influence of the perturbation size ε on the rate of success is depicted for FGSM, BIM, and PGD attacks and the InputMFS detection method. 図3では、FGSM、BIM、PGD攻撃およびInputMFS検出方法において、摂動サイズεが成功率に及ぼす影響が示されている。 0.72
If ε is too low, the attacks are only successful on a few samples and it is hard to detect them. ε が低すぎる場合、攻撃はいくつかのサンプルでのみ成功し、それらを検出するのは難しい。 0.87
For an ε close to 1 a distortion would be visible and it would be easy to detect them. 1に近いεの場合、歪みが見え、それらを検出するのは簡単です。 0.69
We made the two created datasets for CIFAR-10 and CIFAR-100 as described above publicly available, creating the first adversarial detection benchmark dataset3. 上記のようにCIFAR-10とCIFAR-100の2つのデータセットを一般公開し、最初の逆検出ベンチマークデータセットを作成しました。
訳抜け防止モード: 上述のCIFAR-10とCIFAR-100のデータセットを作成した。 最初の逆検出ベンチマーク データセット3を作成しました
0.63
Fig. 3. The rate of successfully attacked images by FGSM, BIM and PGD attacks together with the detection rate (in AUC) of the InputMFS detector depending on ε. フィギュア。 3. FGSM、BIM、PGDによる画像の攻撃速度は、εに依存する入力MFS検出器の検出速度(AUC)と同時である。 0.64
The attacks are applied on the CIFAR-10 test set and the VGG-16 net with their default hyperparameters in foolbox. これらの攻撃は、CIFAR-10テストセットとVGG-16ネットに、デフォルトのハイパーパラメータを愚かなボックスで適用する。 0.61
IV. FOURIER BASED DETECTION IV。 ファリエに基づく検出 0.58
In this section, we describe the detection method in the Fourier domain. 本稿では,フーリエ領域における検出法について述べる。 0.77
We start with a short review of Fourier Analysis, followed by the simple detector, which only uses input images, and afterwards, the detector using Fourier features at different layers of the network. まず、フーリエ解析の簡単なレビューから始め、次に入力画像のみを使用する単純な検出器、その後、ネットワークの異なる層でフーリエ特徴を用いた検出器について述べる。 0.79
A. Fourier Analysis A Fourier transform decomposes a function into its constituent frequencies. A.フーリエ解析 フーリエ変換は関数をその成分周波数に分解する。 0.84
For a signal sampled at equidistant points, it is known as the discrete Fourier transform. 等距離点でサンプリングされた信号は離散フーリエ変換と呼ばれる。 0.65
The discrete Fourier transform of a signal with length N can be calculated efficiently with the Fast Fourier Transform (FFT) having a runtime of O(N log N ) [29]. 長さNの信号の離散フーリエ変換は、O(N log N )[29]のランタイムを有する高速フーリエ変換(FFT)を用いて効率よく計算することができる。 0.86
For an image channel X ∈ 2PDG, BIM ε = 0.3 3https://cutt.ly/0jm LTm0 画像チャネル X ∈ 2PDG の場合、BIM ε = 0.3 3https://cutt.ly/0jm LTm0 0.63
N(cid:88) n,m=0 N(cid:88) n,m=0 0.78
(1) (2) (3) (1) (2) (3) 0.85
[0, 1]N×N the 2D discrete Fourier transform can be described as follows: 2次元離散フーリエ変換の[0, 1]N×Nは次のように記述できる。 0.77
N X(m, n), N X(m, n) である。 0.88
e−2π im+jn e−2π im+jn 0.44
F(X)(i, j) = for i, j = 0, . F(X)(i, j) = for i, j = 0, 。 0.81
. . N − 1. . . N − 1。 0.82
As a Fourier coefficient is a complex number it is twodimensional. フーリエ係数は複素数であるため、2次元である。 0.80
For z ∈ C there exist r, φ ∈ R with z = reiφ, where r is called the magnitude and φ the phase angle. z ∈ C に対して、z = reiφ を持つ φ ∈ R が存在し、そこで r はマグニチュード、φ は位相角と呼ばれる。 0.88
In the following, we will look at both the magnitude of a Fourier coefficient and the phase angle. 以下では、フーリエ係数の大きさと位相角の両方について説明します。 0.61
The magnitude, also known |F(X)(i, j)| =(cid:112)Re(F(X)(i, j))2 + Im(F(X)(i, j))2. as absolute value, is calculated as follows The phase of a Fourier coefficient is given by Im(F(X)(i, j)) φ(F(X)(i, j)) = arctan Re(F(X)(i, j)) . F(X)(i, j)| =(cid:112)Re(F(X)(i, j))2 + Im(F(X)(i, j))2. 絶対値として計算されるフーリエ係数の位相は、Im(F(X)(i, j)) φ(F)(X)(i, j)) = arctan Re(F(X)(i, j)) によって与えられる。 0.78
B. Fourier Features of Input Images The change caused by adversarial attacks in the pixel domain differs among images. B. 入力画像のフーリエ特徴 画素領域における敵攻撃による変化は画像によって異なる。 0.82
The Fourier spectrum of an attacked image, on the other hand, shows some generalized characteristics, which can be used for detection. 一方、攻撃された画像のフーリエスペクトルは、検出に使用できるいくつかの一般化された特徴を示す。 0.79
Small changes in the pixel-domain are hard to detect, because they seem random, whereas the very same manipulations can lead to systematical changes in the frequency domain, which are then detectable. ピクセル領域の小さな変化はランダムに見えるため検出が難しいが、全く同じ操作によって周波数領域の体系的な変化が生じ、検出できる。
訳抜け防止モード: ピクセルの小さな変更 - ドメインは検出が難しい。 ランダムに見えますが 全く同じ操作によって周波数領域が体系的に変化し、それが検出される可能性がある。
0.77
We investigate the performance of simple spectral features of input images, extracting spectral features from the Fourier coefficients which are computed via DFT as described in Equation 1. Equation 1に示すように、DFTを介して計算されるフーリエ係数からスペクトル特性を抽出し、入力画像の単純なスペクトル特性の性能を調べます。 0.84
The DFT is separately applied to each image channel and all Fourier coefficients are used for the detector. DFTは各画像チャネルに別々に適用され、検出器にはすべてのフーリエ係数が使用される。 0.76
Of these complex coefficients, we either consider the magnitude or the phase. これらの複雑な係数のうち、我々は大きさまたは位相を考える。 0.69
The detector using the magnitude Fourier spectrum (MFS) is called InputMFS, the one using the phase Fourier spectrum (PFS) is called InputPFS. 等級フーリエスペクトル(MFS)を用いた検出器はInputMFSと呼ばれ、位相フーリエスペクトル(PFS)を用いた検出器はInputPFSと呼ばれる。 0.87
Both detectors are described in Algorithm 1. どちらの検出器もアルゴリズム1で記述される。 0.60
1) Experimental Setup: The data is generated as described in III-B and shown in Figure 2. 1) 実験セットアップ: データはIII-Bで説明され、図2で示されるように生成される。 0.76
After the wrongly classified samples were sorted out, Fourier transformation is applied on all images that could be attacked successfully. 誤って分類されたサンプルをソートした後、フーリエ変換は攻撃に成功できるすべての画像に適用される。 0.74
On every image and its adversarial version, we apply the two-dimensional discrete Fourier transform. すべての画像とその逆バージョンでは、2次元離散フーリエ変換を適用します。 0.72
The DFT is applied independently on each of the three color channels. DFTは3つの色チャネルそれぞれに独立して適用される。 0.82
The size of the images and so their resulting Fourier spectrums is 32 x 32 x 3. 画像のサイズとその結果として生じるフーリエスペクトルは32 x 32 x 3である。 0.86
We flatten this array into a 3027-dimensional vector. この配列を3027次元ベクトルに平らにする。 0.77
Our datasets consist of about 8,000 pairs of spectrums of normal and attacked images for CIFAR-10 and about 7,000 pairs for CIFAR-100. 我々のデータセットは、CIFAR-10の正常画像と攻撃画像の約8,000対と、CIFAR-100の約7000対から構成されている。 0.57
We split these into training/validation sets (80%) and test sets (20%). これらをトレーニング/検証セット(80%)とテストセット(20%)に分割します。 0.77
We train to different kinds of classifiers, one on the magnitude Fourier spectrum (InputMFS) and one on the phase Fourier spectrum (InputPFS). 我々は,第1級フーリエスペクトル (InputMFS) と第1級フーリエスペクトル (InputPFS) の2種類の分類器を訓練する。
訳抜け防止モード: 我々は、等級フーリエスペクトル(InputMFS )で異なる種類の分類器に訓練する。 そして、位相フーリエスペクトル(InputPFS )の1つです。
0.79
As a binary classifier, we choose a Logistic Regression (LR) classifier, using the standard sklearn implementation and no hyperparameter tuning. バイナリ分類器として、標準のsklearn実装とハイパーパラメータチューニングを使用して、ロジスティック回帰(LR)分類器を選択します。 0.70
For each attack, we train a separate detector but using the same 各攻撃に対して、別個の検出器を訓練するが、同じを使用する。 0.61
英語(論文から抽出)日本語訳スコア
Image set Adversarial set Image Set Adversarial Set 0.83
Algorithm 1 InputMFS/PFS Adversarial detection algorithm 1: Input Xnormal 2: Xadv 3: 4: Output InputMFS/PFS Detector for adversarials 5: 6: FS ← EXTRACTFOURIERFEAT(X normal) 7: FSAdv ← EXTRACTFOURIERFEAT(X adv) 8: Train binary LR classifier on FS, FSAdv 9: InputMFS/PFS ← trained classifier 10: return InputMFS/PFS 11: function EXTRACTFOURIERFEAT(X , MFS/PFS) Initialize: FSpectra = [ ] 12: for x in X do 13: Fourier ← DF T (x) 14: if MFS then 15: FourierFeat ← |Fourier| 16: else if PFS then 17: FourierFeat ← φ(fourier) 18: end if 19: FSpectra.append(Flat tenTo1Dim(FourierFea t)) 20: end for 21: 22: end function Algorithm 1 InputMFS/PFS Adversarial detection algorithm 1: Input Xnormal 2: Xadv 3: 4: Output InputMFS/PFS Detector for adversarials 5: 6: FS ← EXTRACTFOURIERFEAT(X normal) 7: FSAdv ← EXTRACTFOURIERFEAT(X adv) 8: Train binary LR classifier on FS, FSAdv 9: InputMFS/PFS ← trained classifier 10: return InputMFS/PFS 11: function EXTRACTFOURIERFEAT(X , MFS/PFS) Initialize: FSpectra = [ ] 12: for x in X do 13: Fourier ← DF T (x) 14: if MFS then 15: FourierFeat ← |Fourier| 16: else if PFS then 17: FourierFeat ← φ(fourier) 18: end if 19: FSpectra.append(Flat tenTo1Dim(FourierFea t)) 20: end for 21: 22: end function 0.97
(cid:46) DFT per image channel (cid:46)画像チャネルごとのDFT 0.78
features. Different underlying classifiers were tested, but Logistic Regression performed the best. 特徴。 異なる分類器がテストされたが、ロジスティック回帰がベストだった。 0.66
In Table II we compare Logistic Regression (LR), K-Nearest Neighbors (KNN), Gaussian Naive Bayes (GNB), Decision Tree (DT), Random Forest (RF), and Support Vector Machine (SVM) classification methods on an FGSM attack. 表IIでは、FGSM攻撃におけるロジスティック回帰(LR)、K-Nearest Neighbors(KNN)、Gaussian Naive Bayes(GNB)、Decision Tree(DT)、Random Forest(RF)、Support Vector Machine(SVM)の分類手法を比較した。 0.76
DETECTION RESULTS (IN ACCURACY) USING DIFFERENT CLASSIFIER, EVALUATED ON ATTACKED IMAGES BY FGSM ATTACK FROM CIFAR-10 CIFAR-10からのFGSM強調画像に基づく差分クラシファイアを用いた検出結果(精度) 0.63
TABLE II LR 98.1 テーブルII LR98.1 0.62
KNN 72.5 AND A VGG-16 NET. KNN 72.5 およびVGG-16.NET。 0.73
RF 97.8 GNB 93.9 RF97.8 GNB 93.9 0.68
DT 95.2 SVM 96.1 DT 95.2 SVM 96.1 0.71
2) Results: In Table III and IV we report how well the Logistic Regression (LR) classifier can tell the Fourier spectrum of a normal image from an adversarial image apart. 2) 結果: 表III, 表IVでは, ロジスティック回帰(LR)分類器が, 通常の画像のフーリエスペクトルを, 対向画像から切り離すことができるかを報告した。 0.81
We do not only report the accuracies and the AUC score but also recall and precision scores. 私たちは、精度とAUCスコアを報告するだけでなく、リコールや精度スコアも報告します。
訳抜け防止モード: 我々は、認定とAUCスコアを報告するだけでなく、 記憶と正確さのスコアも。
0.66
In Table III we present the results for the magnitude Fourier detector on CIFAR-10 and CIFAR-100 and in Table IV the results for the phase Fourier detector on CIFAR-10. 表IIIでは、CIFAR-10とCIFAR-100のフーリエ等級検出器、表IVではCIFAR-10のフーリエ等級検出器の結果を示す。 0.72
For the ealier methods, the FGSM, BIM and PGD, we achieve very high detection rates, especially a very high AUC score, for both CIFAR-10 and CIFAR-100. CIFAR-10 と CIFAR-100 の両手法において,FGSM,BIM,PGD は高い検出率,特に非常に高い AUC スコアを達成する。 0.79
As both Deepfool and C&W minimize their perturbation, they are especially hard to detect and we do not succeed with this detector. DeepfoolとC&Wはどちらも摂動を最小化しているため、検出は特に困難であり、この検出器は成功しない。 0.67
In Table IV it can be seen that the phase of the Fourier coefficients does not provide as helpful information as the magnitude, failing to distinguish normal and adversarial images for any attack method. 表IVでは、フーリエ係数の位相はマグニチュードほど有用な情報を提供しず、任意の攻撃方法のための正常および逆の画像を識別することができません。 0.75
In Figure 4 it can be seen, that the spectra for FGSM, BIM, and PGD differ from 図4では、FGSM、BIM、PGDのスペクトルが異なっていることがわかります。 0.67
Fig. 4. A CIFAR-10 image attacked by different attacks. フィギュア。 4. CIFAR-10 異なる攻撃によって攻撃された画像。 0.64
First column: Image attacked by the five different method. First column: 5つの異なるメソッドによって攻撃されるイメージ。 0.71
Second column: The Fourier spectrum, plotted logarithmically. 第2列:フーリエスペクトル、対数的にプロット。 0.76
Third column: The difference of the spectrum of the attacked image to the spectrum of the original image. 第3列: 攻撃された画像のスペクトルと元の画像のスペクトルとの差。 0.69
The colorbar corresponds to the third column. カラーバーは第3列に対応する。 0.81
DETECTION RATES (IN %) USING THE MAGNITUDE FOURIER SPECTRUM マグニチュードファイヤースペクトルを用いた検出レート(%) 0.56
(MFS) OF THE INPUT IMAGE. 入力画像の(MFS)。 0.48
EVALUATED ON ATTACKS USING アタックを用いた評価 0.46
TABLE III CIFAR-10/100 AND VGG-16 NET. テーブルIII CIFAR-10/100およびVGG-16NET。 0.58
Attack method FGSM BIM PGD Deepfool C&W FGSM BIM PGD Deepfool C&W 攻撃方法 FGSM BIM PGD Deepfool C&W FGSM BIM PGD Deepfool C&W 0.84
Accuracy 98.1 93.5 93.6 59.0 54.7 95.5 89.16 91.04 58.56 54.09 Accuracy 98.1 93.5 93.6 59.0 54.7 95.5 89.16 91.04 58.56 54.09 0.44
AUC 99.7 97.8 97.9 60.9 56.1 98.4 94.14 95.09 62.25 54.78 AUC 99.7 97.8 97.9 60.9 56.1 98.4 94.14 95.09 62.25 54.78 0.44
Precision 97.7 93.5 93.8 57.3 54.8 94.7 88.0 89.9 60.0 53.4 Precision 97.7 93.5 93.8 57.3 54.8 94.7 88.0 89.9 60.0 53.4 0.44
Recall 98.5 93.5 93.3 53.2 51.0 96.3 90.57 92.67 54.55 53.33 Recall 98.5 93.5 93.3 53.2 51.0 96.3 90.57 92.67 54.55 53.33 0.44
CIF-10 CIF-100 CIF-10 CIF-100 0.59
英語(論文から抽出)日本語訳スコア
DETECTION RATES (IN %) USING THE PHASE FOURIER SPECTRUM OF THE INPUT IMAGE. 入力画像のPhase FOURIER SPECTRUMを使用して検出レート(%)。 0.51
EVALUATED ON ATTACKS USING CIFAR-10 AND VGG-16 CIFAR-10とVGG-16による攻撃評価 0.65
TABLE IV NET. テーブルIV NET。 0.73
FGSM BIM PGD 52.3 51.6 FGSM BIM PGD 52.3 51.6 0.71
52.8 Deepfool 50.7 52.8 Deepfool 50.7 0.65
C&W 50.5 the originals’ spectrum. C&W 50.5 オリジナル作品のスペクトル。 0.73
This is visible in particular in the high-frequency areas (the corners of the image), due to the logarithmic depiction. これは、特に対数描写のために、高周波領域(画像のコーナー)で表示されます。 0.62
3) Influence of Frequency: An interesting question is which frequencies are affected by an adversarial effect. 3)周波数の影響:どの周波数が逆効果の影響を受けているかが興味深い。 0.81
Therefore we look at the different frequencies for the BIM and Deepfool attacks on CIFAR-10. したがって、CIFAR-10に対するBIMおよびDeepfool攻撃の異なる周波数を調べます。 0.79
As shown in Table V and Table VI we observe for both methods that by only looking at the lowest or highest 25% frequencies the performance is low. 表Vと表6に示すように、最低または最高25%の周波数のみを観測することで、性能が低いことを観察する。 0.75
On the other hand, considering only one of the mid-frequency bands we already achieve a very good result. 一方、中間周波数帯域の1つだけを考えると、すでに非常に良い結果が得られています。 0.62
This confirms the observation that adversarial attacks are not a high-frequency issue [26], but rather a mid-frequency issue. これは、逆攻撃が高周波問題[26]ではなく、むしろ中周波問題であることを示す。 0.66
DETECTION RESULTS (AUC IN %) DEPENDING ON FREQUENCY FOR BIM BIMの周波数に基づく検出結果(AUC in %) 0.61
ATTACK, USING CIFAR-10 AND VGG-16 NET, ε = 0.03. ATTACK, Using CIFAR-10 and VGG-16 NET, ε = 0.03。 0.71
TABLE V ↓ from to → テーブルV → から → へ 0.68
0 8 16 24 8 53.8- 0 8 16 24 8 53.8- 0.72
16 92.8 98.0- 16 92.8 98.0- 0.52
24 98.4 98.7 98.5 - 24 98.4 98.7 98.5 - 0.59
32 97.8 98.4 98.4 59.0 32 97.8 98.4 98.4 59.0 0.50
DETECTION RESULTS (AUC IN %) DEPENDING ON FREQUENCY FOR THE 周波数に基づく検出結果(AUC in %) 0.44
DEEPFOOL ATTACK, USING CIFAR-10 AND VGG-16 NET. CIFAR-10とVGG-16 NETを使用したDeEPFOOL ATTACK。 0.61
TABLE VI ↓ from to → テーブルVI → から → へ 0.66
0 8 16 24 8 50.3- 0 8 16 24 8 50.3- 0.72
16 57.0 60.9- 16 57.0 60.9- 0.52
24 61.8 64.2 62.6 - 24 61.8 64.2 62.6 - 0.59
32 61.0 62.9 61.9 50.7 32 61.0 62.9 61.9 50.7 0.50
C. Fourier Features of Layers In order to provide a detector that is also successful on advanced attacks like Deepfool and C&W methods, we will now study the response of the neural network to an adversarial perturbation. C. 層のフーリエ特徴 DeepfoolやC&Wメソッドのような高度な攻撃でも成功した検出器を提供するために、我々は今、逆の摂動に対するニューラルネットワークの応答を研究します。 0.78
Like the first detector InputMFS/PFS, this method uses the Fourier domain to detect adversarial images. 最初の検出器 InputMFS/PFS と同様に、この方法はフーリエ領域を使用して逆画像を検出する。 0.66
The same data as described in III-B is used. iii-bで記述したデータと同じデータを用いる。 0.68
Adversarial images and their benign counterparts are forwarded through the network and DFT is applied to their feature maps. 敵画像とその良性画像はネットワークを介して転送され、DFTは特徴マップに適用される。 0.73
Again we provide two versions, one using the MFS and one using the PFS, these detectors are called LayerMFS/PFS and are described in Algorithm 2. MFS と PFS の2つのバージョンを提供しており、これらの検出器は LayerMFS/PFS と呼ばれ、アルゴリズム2で説明されている。 0.80
Image set Adversarial set Set of layer indices Pre-trained DNN Image Set Adversarial Set Set of Layer Indices Pre-trained DNN 0.94
Algorithm 2 LayerMFS/PFS Adversarial detection algorithm 1: Input Xnormal 2: Xadv 3: LayerInds 4: DNN 5: 6: Output LayerMFS/PFS Detector for adversarials 7: 8: FS ← EXTRFOURFTMAPS(Xnorm al) 9: FSAdv ← EXTRFOURFTMAPS(Xadv) 10: Train binary classifier on FS, FSAdv 11: LayerMFS/PFS ← trained classifier 12: return LayerMFS/PFS 13: function EXTRFOURFTMAPS(X) FeatMapsLayers = [ ] 14: for l in LayerInds do 15: FeatMaps ← GetFeatMaps(l, DNN) 16: FtpsLrs.append(FeatM aps) 17: end for 18: FSFtMaps = EXTRACTFOURIERFEATUR ES(FtMpsLrs) 19: return FSFtMaps 20: 21: end function Algorithm 2 LayerMFS/PFS Adversarial detection algorithm 1: Input Xnormal 2: Xadv 3: LayerInds 4: DNN 5: 6: Output LayerMFS/PFS Detector for adversarials 7: 8: FS ← EXTRFOURFTMAPS(Xnorm al) 9: FSAdv ← EXTRFOURFTMAPS(Xadv) 10: Train binary classifier on FS, FSAdv 11: LayerMFS/PFS ← trained classifier 12: return LayerMFS/PFS 13: function EXTRFOURFTMAPS(X) FeatMapsLayers = [ ] 14: for l in LayerInds do 15: FeatMaps ← GetFeatMaps(l, DNN) 16: FtpsLrs.append(FeatM aps) 17: end for 18: FSFtMaps = EXTRACTFOURIERFEATUR ES(FtMpsLrs) 19: return FSFtMaps 20: 21: end function 0.95
DIFFERENT VGG FEATURES AND THE DETECTION RESULT (IN AUC %) FOR A DEEPFOOL ATTACK, APPLIED TO CIFAR-10 AND THE VGG-16 ディープフード攻撃における異なるvgg特徴と検出結果(auc %) : cifar-10およびvgg-16への応用 0.70
TABLE VII Layers 0-1 2-3 4-5 6-9 10-14 15-19 20-24 25-29 30-34 35-39 40-45 テーブルVII Layers 0-1 2-3 4-5 6-9 10-14 15-19 20-24 25-29 30-34 35-39 40-45 0.55
Dim. 68608 131072 131072 147456 139264 81920 69632 40960 34816 10240 9216 うーん。 68608 131072 131072 147456 139264 81920 69632 40960 34816 10240 9216 0.61
BIM NET. Deepfool PFS MFS MFS 97.5 52.2 62.1 98.6 52.3 63.9 63.3 59.0 98.3 67.5 59.2 99.7 67.0 60.8 99.5 99.6 70.0 70.2 99.7 68.8 74.8 88.7 87.5 99.7 90.8 91.0 99.6 93.1 92.7 99.3 94.2 94.8 99.3 BIM NET。 Deepfool PFS MFS MFS 97.5 52.2 62.1 98.6 52.3 63.9 63.3 59.0 98.3 67.5 59.2 99.7 67.0 60.8 99.5 99.6 70.0 70.2 99.7 68.8 74.8 88.7 87.5 99.7 90.8 91.0 99.6 93.1 92.7 99.3 94.2 94.8 99.3 0.70
PFS 60.6 65.0 93.2 94.3 95.7 97.6 99.0 99.7 99.6 99.2 99.0 PFS 60.6 65.0 93.2 94.3 95.7 97.6 99.0 99.7 99.6 99.2 99.0 0.44
1) Influence of Different Layers: This section will show which layers give the most information for the detection of an adversarial image. 1) 異なる層の影響: このセクションでは、どの層が逆画像の検出に最も情報を与えるかを示します。 0.85
In Table VII the results for the BIM attack and the Deepfool attack detection are presented.4 We apply Fourier transformation at the specified layers, flatten and concatenate the resulting vectors. 表7では、BIM攻撃の結果とDeepfool攻撃検出結果が提示される。4 特定層にフーリエ変換を適用し、その結果ベクトルを平坦化し、連結する。 0.71
The zeroth layer is the input image. ゼロ層は入力画像である。 0.72
In Table VII it can be seen that MFS and PFS perform similarly, but MFS is the most cases slightly more successful. 表 VII では、FS と PFS が同じように動作するのが分かるが、MSF はよりわずかに成功した場合が多い。 0.71
The samples attacked by the BIM method are detectable earlier in the network than the ones attacked by Deepfool. BIMメソッドで攻撃されたサンプルは、Deepfoolが攻撃したサンプルよりも早くネットワーク内で検出できます。 0.73
Because we aim to train a classifier which works for all attacks at the same time, we choose a combination of layers 4The Tables for FGSM, PGD, and C&W attacks are not shown due to space limitations, but the PGD attack shows a similar behavior as the BIM attack layerwise, and the FGSM attack detection methods have the highest scores even earlier in the network and the C&W is similar to Deepfool. 我々は全ての攻撃に対して同時に動作する分類器を訓練することを目的としているため、fgsm、pgd、c&w攻撃の表は空間制限のため表示されないが、pgd攻撃はbim攻撃の層ごとに類似した振る舞いを示し、fgsm攻撃検出手法はネットワーク内でも早くも高いスコアを持ち、c&wはdeepfoolと類似している。
訳抜け防止モード: すべての攻撃に対して同時に機能する分類器を訓練することを目指しているからです。 FGSM、PGD、およびC&W攻撃用のテーブルは、スペースの制限のために表示されません。 しかし、PGD攻撃はBIM攻撃と同じ挙動を階層的に示します。 そして、FGSM攻撃検出方法は、ネットワークでさらに早い段階で最高スコアを持っています。 そしてC&WはDeepfoolに似ている。
0.75
英語(論文から抽出)日本語訳スコア
COMPARISON OF DETECTION METHODS ACC / AUC (IN %). 検出方法 ACC / AUC (in %)の比較。 0.54
THE ATTACKS ARE APPLIED ON THE CIFAR-10/100 TEST SET AND THE VGG-16 NET CIFAR-10/100テストセットとVGG-16ネットのアタック 0.64
TABLE VIII Dataset テーブルVIII データセット 0.64
CIFAR-10 CIFAR-100 CIFAR-10 CIFAR-100 0.59
Detector LID Mahalanobis InputMFS (ours) LayerMFS (ours) LayerPFS (ours) Mahalanobis InputMFS (ours) LayerMFS (ours) LayerPFS (ours) 検出器 LID Mahalanobis InputMFS (ours) LayerMFS (ours) LayerPFS (ours) Mahalanobis InputMFS (ours) LayerMFS (ours) LayerPFS (ours) 0.87
LID FGSM 86.4 / 90.8 95.6 / 98.8 98.1 / 99.7 99.6 / 100 97.0 / 99.9 72.9 / 81.1 90.5 / 96.3 98.4 / 95.5 99.5 / 100 96.9 / 99.3 LID FGSM 86.4 / 90.8 95.6 / 98.8 98.1 / 99.7 99.6 / 100 97.0 / 99.9 72.9 / 81.1 90.5 / 96.3 98.4 / 95.5 99.5 / 100 96.9 / 99.3 0.70
BIM 85.6 / 93.3 97.3 / 99.3 93.5 / 97.8 99.2 / 100 98.0 / 99.9 76.5 / 85.0 73.5 / 81.3 89.1 / 94.1 97.1 / 99.5 90.3 / 96.7 BIM 85.6 / 93.3 97.3 / 99.3 93.5 / 97.8 99.2 / 100 98.0 / 99.9 76.5 / 85.0 73.5 / 81.3 89.1 / 94.1 97.1 / 99.5 90.3 / 96.7 0.54
PGD 80.4 / 90.0 96.0 / 98.6 93.6 / 97.9 98.3 / 99.9 96.9 / 99.6 79.0 / 86.9 76.3 / 82.1 90.9 / 95.1 97.0 / 99.7 92.6 / 97.6 PGD 80.4 / 90.0 96.0 / 98.6 93.6 / 97.9 98.3 / 99.9 96.9 / 99.6 79.0 / 86.9 76.3 / 82.1 90.9 / 95.1 97.0 / 99.7 92.6 / 97.6 0.52
Deepfool 78.9 / 86.6 76.1 / 84.6 58.0 / 60.6 72.0 / 80.3 86.1 / 92.2 58.9 / 64.4 89.2 / 95.3 58.8 / 62.2 83.8 / 91.0 78.8 / 84.4 Deepfool 78.9 / 86.6 76.1 / 84.6 58.0 / 60.6 72.0 / 80.3 86.1 / 92.2 58.9 / 64.4 89.2 / 95.3 58.8 / 62.2 83.8 / 91.0 78.8 / 84.4 0.52
C&W 78.1 / 85.3 76.9 / 84.6 54.7 / 56.1 69.9 / 77.7 86.8 / 93.3 61.8 / 67.2 89.0 / 94.7 53.3 / 54.6 87.1 / 93.0 79.1 / 84.0 C&W 78.1 / 85.3 76.9 / 84.6 54.7 / 56.1 69.9 / 77.7 86.8 / 93.3 61.8 / 67.2 89.0 / 94.7 53.3 / 54.6 87.1 / 93.0 79.1 / 84.0 0.54
at different depth. We observe that every other activation layer works well. 違う深さで 他のすべてのアクティベーション層がうまく機能することを観察する。 0.63
Only for Deepfool and C&W on CIFAR-100 we use just the last activation layer. CIFAR-100のDeepfoolとC&Wのみ、最後のアクティベーションレイヤーを使用します。 0.78
We will call the detectors using these layers Fourier features LayerMFS and LayerPFS. これらの層を使用して検出器を呼び出します。Fourier 機能 LayerMFS と LayerPFS。 0.66
V. COMPARISON TO EXISTING METHODS V.既存方法との比較 0.48
To show that our method not only benefits from its simplicity, we compare the performance to state-of-the-art detectors. 本手法は単純さの恩恵を受けるだけでなく,その性能を最先端検出器と比較する。 0.66
A. Comparative Methods We compare our detection methods to two popular opensource detectors, Local Intrinsic Dimensionality (LID) and Mahalanobis distance (M-D) detection, as described in II-A. A。 比較手法 提案手法を,II-Aで記述した局所固有次元(LID)とマハラノビス距離(M-D)の2つのオープンソース検出器と比較した。 0.74
The hyperparameters for the LID methods are the batch size and the number of neighbors, as suggested in [18] the batch size is set as 100, and the number of neighbors to 20 for CIFAR-10 and 10 for CIFAR-100. LIDメソッドのハイパーパラメータは、[18]に示されたように、バッチサイズと隣人の数であり、バッチサイズは100に設定され、隣人の数はCIFAR-10で20人、CIFAR-100で10人です。 0.66
For M-D we use the whole CIFAR-10/100 training set to calculate the mean and covariance. M-Dのために私達は平均および共分散を計算するのにCIFAR-10/100の訓練セット全体を使用します。
訳抜け防止モード: M - D では CIFAR-10/100 トレーニングセット全体を使用する 平均と共分散を計算します
0.65
We choose the magnitude as recommended in [24], individually for each attack method, 0.002 for FGSM, 0.00005 for Deepfool, PGD, and BIM, and 0.0001 for C&W, for CIFAR-10. 24]では、各攻撃方法、FGSMでは0.002、Deepfool、PGD、BIMでは0.00005、C&Wでは0.0001を個別に選択します。
訳抜け防止モード: 攻撃方法ごとに[24 ]で推奨される大きさを選択します。 FGSMは0.002、Deepfool、PGD、BIMは0.000005である。 CIFAR-10では0.0001であった。
0.74
For CIFAR-100 we choose the magnitude to be 0.005 for FGSM, 0.0005 for Deepfool, 0.01 for PGD, and BIM, and 0.0001 for C&W. CIFAR-100ではFGSMが0.005、Deepfoolが0.0005、PGDが0.01、BIMが0.0001、C&Wが0.0001となる。
訳抜け防止モード: CIFAR-100 の場合、FGSM は 0.005 となる。 0.0005 for Deepfool, 0.01 for PGD, BIM C&Wは0.0001。
0.83
B. Experimental Setup The data as described in III-B is used. B。 実験セットアップ III-B で記述されたデータが使用される。 0.76
For each method, the layerwise characteristics are extracted. 各方法において、層状特性が抽出される。 0.80
For LID and M-D all activation layers are used (as recommended in [24] and for our methods we use every other activation layer starting at the third (i.e. LIDとM-Dでは、すべてのアクティベーション層が([24]で推奨されているように)使用され、我々のメソッドでは、3番目のアクティベーション層から始まるすべてのアクティベーション層が使用される。 0.61
six layers overall), to reduce dimensionality. 全体の6層) 次元を減少させます 0.82
For all methods, except for C&W and Deepfool on CIFAR-100, again an LR classifier works well. CIFAR-100のC&WとDeepfoolを除くすべてのメソッドでは、LR分類器が再びうまく機能します。 0.80
For C&W and Deepfool on CIFAR-100, the results could be improved by an SVM classifier, for our LayerMFS and LayerPFS methods, using a radial basis function kernel. CIFAR-100上のC&WおよびDeepfoolでは、ラジアル基底関数カーネルを用いて、LayerMFSおよびLayerPFSメソッドのSVM分類器によって結果を改善することができる。 0.80
C. Results The comparative results are reported in Table VIII, we present the AUC score and accuracy, for CIFAR-10 and CIFAR-100 datasets. C. results The comparative results are reported in Table VIII, we presented the AUC score and accuracy for CIFAR-10 and CIFAR-100 datasets。 0.94
On CIFAR-10 our LayerPFS method outperforms the LID and Mahalanobis detectors for every CIFAR-10 では、LayerPFS 法はすべての LID および Mahalanobis 検出器より優れています。 0.57
attack method. For FGSM, BIM and PGD attacks the Mahalanobis detector is close to our layer methods, but on Deepfool and C&W attacked samples, our detection rates are higher by a large margin. 攻撃方法。 FGSM、BIMおよびPGDの攻撃 マハラノビス検出器は、私たちの層法に近いですが、DeepfoolおよびC&W攻撃サンプルでは、私たちの検出率は大きなマージンでより高いです。 0.72
On the FGSM attacked images even the InputMFS performs better than M-D and LID detectors. FGSM攻撃画像では、InputMFSでさえM-DやLID検出器より優れている。 0.66
The LID detector is also outperformed for BIM and PGD by the InputMFS method. LID検出器は、InputMFS法によりBIMおよびPGDでも性能が向上する。 0.72
Both LayerMFS and LayerPFS outperform the other detectors for FGSM, BIM, and PGD attacks, LayerMFS shows slightly higher scores than LayerPFS in those cases. layermfs と layerpfs は、fgsm、bim、pgd 攻撃の他の検出器よりも優れており、その場合の layermfs は layerpfs よりも若干高いスコアを示している。 0.62
For the methods Deepfool and C&W, LayerPFS clearly outperforms LayerMFS. DeepfoolとC&Wのメソッドでは、LayerPFSはLayerMFSより明らかに優れています。 0.61
On CIFAR-100 our LayerMFS shows the best performance on FGSM, BIM, and PGD and similar performance for Deepfool and C&W compared to the M-D detector. CIFAR-100では、LayerMFSはFGSM、BIM、PGDで最高の性能を示し、M-D検出器と比較してDeepfoolおよびC&Wで同様の性能を発揮します。 0.65
D. Attack Transfer In an application case, the attack method might be unknown and therefore it is a desired feature that a detector trained on one attack method performs well for a different attack. d. アプリケーションの場合、攻撃方法が不明な場合があり、そのため、1つの攻撃法で訓練された検出器が別の攻撃に対してうまく機能することが望ましい。 0.79
We group the attacks in earlier, ε-depending attacks, FGSM, BIM, and PGD, and the advanced methods Deepfool and C&W. 我々は、早期のε依存攻撃、fgsm、bim、pgd、およびdeepfoolおよびc&wの高度な手法で攻撃をグループ化する。 0.73
Within these groups we perform attack transfer on CIFAR-10. これらのグループ内では、CIFAR-10の攻撃転送を行う。 0.59
We train a detector on the extracted characteristics from one attack and evaluate it on a different one. 我々は、ある攻撃から抽出した特性の検出器を訓練し、別の攻撃で評価する。 0.71
TABLE IX DETECTION RESULTS (AUC IN %) FOR ATTACK TRANSFER CASE ON CIFAR-10. 第9表 CIFAR-10感染例に対する検出結果(AUC in %) 0.59
TRAIN WITH AN ATTACK EVALUATE ON DIFFERENT. 差分に対するアタック評価を伴う訓練。 0.42
↓ from to → FGSM BIM PGD 90.8 71.5 99.8 98.8 99.7 97.5 100 96.0 88.1 99.9 88.8 75.1 20.0 98.3 99.8 97.9 100 100 99.5 87.7 90.0 76.9 30.6 98.6 99.7 97.9 100 99.9 99.6 90.27 ↓ from to → FGSM BIM PGD 90.8 71.5 99.8 98.8 99.7 97.5 100 96.0 88.1 99.9 88.8 75.1 20.0 98.3 99.8 97.9 100 100 99.5 87.7 90.0 76.9 30.6 98.6 99.7 97.9 100 99.9 99.6 90.27 0.50
74.3 100 97.3 97.5 89.6 93.3 99.3 97.8 100 99.9 92.7 99.4 97.6 100 99.9 74.3 100 97.3 97.5 89.6 93.3 99.3 97.8 100 99.9 92.7 99.4 97.6 100 99.9 0.47
InputMFS (ours) LayerMFS (ours) LayerPFS (ours) InputMFS (ours) LayerMFS (ours) LayerPFS (ours) 0.85
InputMFS (ours) LayerMFS (ours) LayerPFS (ours) InputMFS (ours) LayerMFS (ours) LayerPFS (ours) 0.85
LID M-D LID M-D LID M-D LID M-D 0.71
LID M-D InputMFS (ours) LayerMFS (ours) LayerPFS (ours) LID M-D InputMFS (ours) LayerMFS (ours) LayerPFS (ours) 0.78
FGSM BIM PGD FGSM BIM PGD 0.85
英語(論文から抽出)日本語訳スコア
DETECTION RESULTS (AUC IN %) FOR ATTACK TRANSFER CASE FRO 上行結腸移植症例に対する検出成績(AUC in %) 0.55
TABLE X C&W AND DEEPFOOL ATTACKS. テーブルX C&WおよびDeEPFOOLのアタック。 0.68
LID M-D DF→C&W 64.9 84.6 C&W→DF 86.4 84.5 LID M-D DF→C&W 64.9 C&W→DF 86.4 84.5 0.62
InputMFS 55.3 59.3 inputmfs 55.3 59.3 0.54
LayerMFS 76.9 33.1 LayerMFS 76.9 33.1 0.59
LayerPFS 90.1 90.9 LayerPFS 90.1 90.9 0.59
We report the results in Table IX and X. 結果が表IXと表Xで報告される。 0.77
In Table IX we can see that our methods perform well on all transfer cases, achieving AUC scores between 87% and 100%. 表9では、私たちの方法がすべての転送ケースでうまく機能し、87%から100%のAUCスコアを達成していることがわかります。 0.57
Whereas LID and M-D perform well on only some of the cases. LIDとM-Dはいくつかのケースでうまく機能する。 0.72
Table X shows that only our LayerPFS method shows very good results for transferring between Deepfool and C&W methods. 表 X は、私たちの LayerPFS メソッドのみが Deepfool と C&W メソッド間の転送に非常に良い結果を示すことを示しています。 0.63
VI. CONCLUSION AND FUTURE WORK VI。 コンキュレーション及び将来の作業 0.72
In this paper, we studied the effect of adversarial attacks on the Fourier spectrum of an image and its feature maps. 本論文では,画像のフーリエスペクトルとその特徴図に対する逆攻撃の影響について検討した。 0.80
For the popular methods as FGSM, BIM, and PGD we were able to show that there is a well-detectable perturbation on spectra coming from the attacks, which is already noticeable in the magnitude spectrum of the input image. FGSM、BIM、PGDなどの一般的な方法のために、我々はすでに入力画像のマグニチュードスペクトルで顕著である攻撃から来るスペクトルに十分に検出可能な摂動があることを示すことができました。 0.72
One of our proposed methods can be used to defend against those attacks, without any access to the network. 提案手法の1つは、ネットワークにアクセスすることなく、これらの攻撃に対して防御することができる。 0.74
This detector is very simple and robust, it performs well in an attack transfer cases. この検出器は非常にシンプルで堅牢で、攻撃転送ケースでよく機能します。 0.79
In order to succeed against advanced attacks like Deepfool and C&W attacks, we take spectra of feature-maps of different layers into account. DeepfoolやC&W攻撃のような高度な攻撃に対抗するために、異なるレイヤのフィーチャーマップのスペクトルを考慮に入れます。 0.66
We propose a method that detects adversarial examples of all considered attack methods at a very high rate. 本研究では,すべての攻撃方法の逆例を極めて高い速度で検出する手法を提案する。 0.71
For this method, we employ the phase Fourier spectra of feature maps at different activation layers. 本手法では,異なる活性化層における特徴写像の位相フーリエスペクトルを用いる。 0.81
With this detector, we outperform state-of-the-art detectors for all attack methods for CIFAR-10 and for some on CIFAR-100. この検出器により、CIFAR-10のすべての攻撃方法とCIFAR-100の一部において、最先端の検出器を上回ります。 0.54
Building on these promising results and applying the methods on datasets like ImageNet or other networks could be future work. これらの有望な結果に基づいて、ImageNetや他のネットワークのようなデータセットにメソッドを適用することは、将来の作業である。
訳抜け防止モード: これらの有望な結果に基づいて、ImageNetや他のネットワークなどのデータセットにメソッドを適用する 将来の仕事かもしれない
0.67
Another open question is how well the methods perform against a so-called secondary attack, an attack that is aware of the detector used. もう1つの疑問は、この手法が、検知器が使用する攻撃であるいわゆる二次攻撃に対してどのように機能するかである。 0.64
REFERENCES [1] O. Russakovsky, J. Deng, H. Su, J. Krause, S. Satheesh, S. Ma, Z. Huang, A. Karpathy, A. Khosla and M. Bernstein, “Imagenet large scale visual recognition challenge,” International journal of computer vision 115.3: 211-252, 2015. 参考 [1] O. Russakovsky, J. Deng, H. Su, J. Krause, S. Satheesh, S. Ma, Z. Huang, A. Karpathy, A. Khosla and M. Bernstein, "Imagenet large scale visual recognition Challenge", International Journal of Computer Vision 115.3: 211-252, 2015 0.71
[2] A. Krizhevsky, I. Sutskever, and G. E. Hinton, “Imagenet classification with deep convolutional neural networks,” Communications of the ACM 60.6: 84-90, 2017. [2] A. Krizhevsky, I. Sutskever, G. E. Hinton, "Imagenet classification with Deep Convolutional neural Network", Communications of the ACM 60.6: 84-90, 2017 0.93
[3] I. Goodfellow, J. Shlens, and C. Szegedy. 3] I. Goodfellow、J. Shlens、C. Szegedy。 0.80
”Explaining and harnessing adversarial examples.” arXiv preprint arXiv:1412.6572, 2014. arXiv preprint arXiv:1412.6572, 2014 0.46
[4] K. Eykholt, I. Evtimov, E. Fernandes, B. Li, A. Rahmati, C. Xiao, A. Prakash, T. Kohno and D. Song,”Robust physical-world attacks on deep learning visual classification,”Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition, 2018. 4] K. Eykholt, I. Evtimov, E. Fernandes, B. Li, A. Rahmati, C. Xiao, A. Prakash, T. Kohno and D. Song “Robust physical-world attack on Deep Learning visual classification” “IEEE Conference on Computer Vision and Pattern Recognition, 2018の進行。 0.91
[5] N. Carlini and D. Wagner, “Adversarial Examples are not easily detected: Bypassing ten detection methods,”Proceedings of the 10th ACM Workshop on Artificial Intelligence and Security, pp 3-14, ACM, 2017. 5] N. Carlini と D. Wagner の “Adversarial Examples is not easily detect: Bypassing ten detection method” の第10回 ACM Workshop on Artificial Intelligence and Security, pp 3-14, ACM, 2017 の進行。 0.86
[6] Z. Liu, Q. Liu, T. Liu, N. Xu, X., Lin, Y. Wang and W. Wen, ”Feature distillation: Dnn-oriented jpeg compression against adversarial examples.” 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR). 6] Z. Liu、Q. Liu、T. Liu、N. Xu、X.、Lin、Y. Wang、W. Wen、「特徴蒸留:逆例に対するDnn指向jpeg圧縮」 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR)。 0.81
IEEE, 2019. IEEE、2019年。 0.86
[7] D. Hendrycks, K. Gimpel. 7] D. Hendrycks、K. Gimpel。 0.84
”Early methods for detecting adversarial images.” arXiv preprint arXiv:1608.00530, 2016. arXiv preprint arXiv:1608.00530, 2016"Early methods to detect adversarial images." arXiv preprint arXiv:1608.00530, 2016 0.58
[8] X. Li and F. Li. 8] X.LiおよびF.Li。 0.83
”Adversarial examples detection in deep networks with convolutional filter statistics.” Proceedings of the IEEE International Conference on Computer Vision, 2017. コンボリューションフィルタ統計を用いた深層ネットワークにおけるadversarial examples detection (adversarial examples detection in deep networks with convolutional filter statistics)。
訳抜け防止モード: 「畳み込みフィルタ統計を用いた深層ネットワークにおける逆例検出」 IEEE International Conference on Computer Vision, 2017 に参加して
0.85
[9] J. H. Metzen, T. Genewein, V. Fischer and B. Bischoff,”On detecting adversarial perturbations.” arXiv preprint arXiv:1702.04267, 2017. 9] J.H. Metzen, T. Genewein, V. Fischer and B. Bischoff “On detect adversarial perturbations.” arXiv preprint arXiv:1702.04267, 2017 0.92
[10] R. Durall, M. Keuper, and J. Keuper, “Watch your Up-Convolution: CNN Based Generative Deep Neural Networks are Failing to Reproduce Spectral Distributions,” Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition, pp. R. Durall, M. Keuper, J. Keuper, “Watch your Up-Convolution: CNN based Generative Deep Neural Networks are Failing to Reproiling to Reproduce Spectral Distributions”. IEEE/CVF Conference on Computer Vision and Pattern Recognition, pp。 0.82
7890-7899, 2020. 7890-7899, 2020. 0.84
[11] S. Jung and M. Keuper. 11] S. JungおよびM. Keuper。 0.84
Spectral Distribution aware Image Generation. スペクトル分布を考慮した画像生成 0.70
arXiv preprint arXiv:2012.03110, 2020. arXiv preprint arXiv:2012.03110, 2020 0.81
[12] A. Kurakin, I. Goodfellow, and S. Bengio. [12]A. Kurakin,I. Goodfellow,S. Bengio 0.77
”Adversarial examples in the physical world.” arXiv preprint arXiv:1607.02533, 2016. arXiv preprint arXiv:1607.02533, 2016 0.47
[13] A. Madry, A. Makelov, L. Schmidt, D. Tsipras and A. Vladu, Towards deep learning models resistant to adversarial attacks,” arXiv preprint arXiv:1706.06083, 2017. 13] a. madry、a. makelov、l. schmidt、d. tsipras、a. vladuは、敵対的な攻撃に耐性のあるディープラーニングモデルに向かっている”、とarxiv preprint arxiv:1706.06083, 2017。
訳抜け防止モード: [13 ]A.Madry,A.Makelov,L. Schmidt, D. TsiprasとA. Vladuは、敵対的な攻撃に抵抗する深層学習モデルだ。 arXiv preprint arXiv:1706.06083, 2017
0.78
[14] S. Moosavi-Dezfooli, A. Fawzi, and P. Frossard. 十四 S. Moosavi-Dezfooli, A. Fawzi, P. Frossard. 0.91
”Deepfool: a simple and accurate method to fool deep neural networks.” Proceedings of the IEEE conference on computer vision and pattern recognition, 2016. Deepfool: a simple and accurate method to fool Deep Neural Network”. IEEE Conference on Computer Vision and Pattern Recognition, 2016の成果。 0.75
[15] N. Carlini and D. Wagner. 15] N. CarliniとD. Wagner。 0.88
”Towards evaluating the robustness of neural networks.” 2017 ieee symposium on security and privacy (sp). ニューラルネットワークの堅牢性評価に向けて」2017 ieee Symposium on Security and Privacy (sp) 0.67
IEEE, 2017. 2017年、IEEE。 0.63
[16] Krizhevsky, Alex, and Geoffrey Hinton. 16] Krizhevsky、Alex、Geoffrey Hinton。 0.55
”Learning multiple layers of features from tiny images.”: 7, 2019. 小さい画像から複数の機能層を学ぶ」:2019年7月7日。 0.74
[17] Simonyan, Karen, and Andrew Zisserman. 17] Simonyan、Karen、Andrew Zisserman。 0.62
”Very deep convolutional networks for large-scale image recognition.” arXiv preprint arXiv:1409.1556, 2014. 大規模画像認識のための非常に深い畳み込みネットワーク」 arXiv preprint arXiv:1409.1556, 2014 0.76
[18] X. Ma, B. Li, Y. Wang, S. Erfani, S. Wijewickrema, S., G. Schoenebeck, D. Song and J. Bailey. X. Ma, B. Li, Y. Wang, S. Erfani, S. Wijewickrema, S., G. Schoenebeck, D. Song, J. Bailey. 0.94
Characterizing adversarial subspaces using local intrinsic dimensionality. 局所内在次元を用いた逆部分空間のキャラクタリゼーション 0.62
arXiv preprint arXiv:1801.02613, 2018. arXiv preprint arXiv:1801.02613, 2018 0.79
[19] K. Lee, K. Lee, H. Lee and J. Shin. 19] K. Lee、K. Lee、H. Lee、J. Shin。 0.90
A simple unified framework for detecting out-of-distribution samples and adversarial attacks. 分散サンプルと逆アタックを検出するためのシンプルな統一フレームワーク。 0.77
In Advances in Neural Information Processing Systems (pp. ニューラル情報処理システムの進歩(p。 0.58
7167-7177), 2018. 7167-7177), 2018. 0.99
[20] A. N. Bhagoji, D. Cullina, and P. Mittal. 20] A.N. Bhagoji、D. Cullina、P. Mittal。 0.83
”Dimensionality reduction as a defense against evasion attacks on machine learning classifiers.” arXiv preprint arXiv:1704.02654 2, 2017. arXiv preprint arXiv:1704.02654 2, 2017 "Dimensionality reduction as a Defense againstevasion attack on Machine Learning Classifiers." arXiv preprint arXiv:1704.02654 2, 2017
訳抜け防止モード: 機械学習分類器の回避攻撃に対する防御としての「次元化」 arXiv preprint arXiv:1704.02654 2, 2017
0.79
[21] R. Feinman, R. R. Curtin, S. Shintre and A. [21] R. Feinman, R. R. Curtin, S. Shintre, A. 0.91
B. Gardner, ”Detecting adversarial samples from artifacts.” arXiv preprint arXiv:1703.00410, 2017. B. Gardner, ”Detecting adversarial sample from artifacts.” arXiv preprint arXiv:1703.00410, 2017 0.90
[22] J. Liu, W. Zhang, Y. Zhang, D. Hou, Y. Liu, H. Zha and N. Yu, “Detection based defense against adversarial examples from the steganalysis point of view, ” Proceedings of the IEEE Conference on computer vision and pattern recognition, pp. J. Liu, W. Zhang, Y. Zhang, D. Hou, Y. Liu, Y. Liu, H. Zha, N. Yu, “ステガナリシスの観点からの敵の例に対する検出に基づく防御, ] IEEE Conference on computer vision and pattern recognition, pp。 0.84
4825-4834, 2019. 4825-4834, 2019. 0.84
[23] K. Grosse, P. Manoharan, N. Papernot, M. Backes and P. McDaniel ”On the (statistical) detection of adversarial examples.” arXiv preprint arXiv:1702.06280, 2017. K. Grosse, P. Manoharan, N. Papernot, M. Backes and P. McDaniel ”On the (statistical) detection of adversarial examples.” arXiv preprint arXiv:1702.06280, 2017. 0.95
[24] G. Cohen, G. Sapiro and R. Giryes. 24] G. Cohen、G. Sapiro、R. Giryes。 0.86
Detecting adversarial samples using influence functions and nearest neighbors. 影響関数と近接した隣人を用いた敵検体の検出 0.62
In Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition, pp. コンピュータビジョンとパターン認識に関するIEEE/CVF会議の進行において、pp。 0.76
14453-14462, 2020. 14453-14462, 2020. 0.84
[25] Y. Tsuzuku and I. Sato “On structural Sensitivity of Deep Convolutional Networks to the Directions of Fourier Basis Functions,” Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition, 2019. Y. Tsuzuku, I. Sato “On Structure Sensitivity of Deep Convolutional Networks to the Directions of Fourier Basis Functions”, Proceedings on IEEE Conference on Computer Vision and Pattern Recognition, 2019
訳抜け防止モード: 25 ] Y. Tsuzuku and I. Sato 「フーリエ基底関数の方向への深い畳み込みネットワークの構造的感受性について」 コンピュータビジョンとパターン認識に関するIEEE会議の進行、2019 。
0.82
[26] D. Yin, R. Gontijo Lopes, J. Shlens, E. D. Cubuk and J. Gilmer “A fourier perspective on model robustness in computer vision,” Advances in Neural Information Processing Systems 32 : 13276-13286, 2019. D. Yin, R. Gontijo Lopes, J. Shlens, E. D. Cubuk, J. Gilmer “A fourier view on model robustness in computer vision”, Advances in Neural Information Processing Systems 32 : 13276-13286, 2019 0.87
[27] C. Ma, B. Wu, S. Xu, Y. 27] c. ma, b. wu, s. xu, y. 0.77
Fan, Y. Zhang, X. Zhang and Z. Li“ Effective and Robust Detection of Adversarial Examples via Benford-Fourier Coefficients,” arXiv preprint arXiv:2005.05552, 2020. Fan, Y. Zhang, X. Zhang and Z. Li “ Effective and Robust Detection of Adversarial Examples via Benford-Fourier Coefficients” arXiv preprint arXiv:2005.05552, 2020。 0.91
[28] J. Rauber, W. Brendel and M. Bethge. [28] J. Rauber、W. Brendel、M. Bethge。 0.82
”Foolbox: A python toolbox to benchmark the robustness of machine learning models.” arXiv preprint arXiv:1707.04131, 2017. Foolbox: arXiv preprint arXiv:1707.04131, 2017 "Foolbox: a python toolbox to benchmark the robustness of machine learning model." arXiv preprint arXiv:1707.04131, 2017 0.63
[29] J. W. Cooley and J. W. Tukey. J.W.クーリーとJ.W.タキー。 0.68
”An algorithm for the machine calculation of complex Fourier series.” Mathematics of computation 19.90: 297-301, 1965. 複素フーリエ系列の機械計算のためのアルゴリズム」計算の数学19.90: 297-301、1965。 0.81
                 ページの最初に戻る

翻訳にはFugu-Machine Translatorを利用しています。