Feature Disruptive Attack [Kor]
Ganeshan et al. / Feature Disruptive Attack / ICCV 2019
1. Problem definition
Deep neural network (DNN)ė ģ“ėÆøģ§ ė¶ė„, ė¬¼ģ²“ ź²ģ¶ ė± ė¤ģķ ģ»“ķØķ° ė¹ģ ė¶ģ¼ģģ ķė„ķ ģ±ė„ģ ė³“ģ ėė¤. ķģ§ė§ DNNģ ģ“ėÆøģ§ģ ģøź°ģ ėģ ģ ģøģėģ§ ģė ģģ ė øģ“ģ¦ė„¼ ģ¶ź°ķģ¬ ė§ė ģ ėģ ģģ ģ ģ·Øģ½ķ©ėė¤. ģ“ė° ģ ėģ ģģ ė„¼ ė§ėė ė°©ė²ģ ģ ėģ ź³µź²©ģ“ė¼ ķ©ėė¤. ģ ėģ ź³µź²©ź³¼ ģ“ė„¼ ė§źø° ģķ ė°©ģ“ źø°ė²ė¤ģ“ ģ ģėė ź³¼ģ ģģ ė¤ķøģķ¬ģ ģ·Øģ½ģ±ģ ėķ ģ°źµ¬ź° ģ“ė£Øģ“ģ§ź³ ģ“ė ė¤ķøģķ¬ģ ģ±ė„ź³¼ robustnessė„¼ ķ„ģģķ¬ ģ ģģµėė¤. ė°ė¼ģ, ģ ėģ ģģ ė„¼ ė§ėė ė°©ė²ģ ģ°źµ¬ķė ź²ģ ė¤ķøģķ¬ģ ėķ ģ“ķ“ģ ģ±ė„ ķ„ģģ ėģģ ģ¤ėė¤. ģ“ėÆøģ§ ė¶ė„ģģģ ģ ėģ ź³µź²©ģ ė¤ķøģķ¬ź° ģė³ø ģ“ėÆøģ§ģ classė” ģøģķģ§ ėŖ»ķėė” ģ“ėÆøģ§ģ ė øģ“ģ¦ė„¼ ģ¶ź°ķ ģ ėģ ģģ ė„¼ ė§ėė ź²ģ ė§ķ©ėė¤. źø°ģ”“ģ ģ ėģ ź³µź²©ė¤ģ DNNģ ė§ģ§ė§ ė¶ė¶ģ ķ“ė¹ķė softmax ķ¹ģ pre-softmaxė„¼ ģ¬ģ©ķģ¬ ģ ėģ ģģ ė„¼ ģģ±ķ©ėė¤. ė³ø ė ¼ė¬øģģė ģ“ė ź² ģģ±ķ ģ ėģ ģģ ė ė ź°ģ§ ė¬øģ ģ ģ“ ģė¤ź³ ė§ķź³ ģģµėė¤. ģ²« ė²ģ§øė ģ ėģ ģģ ģ deep featureź° ģė³ø ģ“ėÆøģ§ģ ģ ė³“ė„¼ ģ¬ģ ķ ķ¬ķØķź³ ģė¤ė ģ ģ“ź³ ė ė²ģ§øė networkź° ģ ėģ ģģ ė„¼ ģė³ø ģ“ėÆøģ§ģ ģ ģ¬ķ classė” ģøģķź±°ė ģė³ø ģ“ėÆøģ§ė” ģģø”ķė ķė„ ģ“ ģ¬ģ ķ ėė¤ė ģ ģ ėė¤.
2. Motivation
Related work
PGD FGSM ź³¼ģ ģ ģ¬ė¬ ė² ė°ė³µķ ź³µź²© ė°©ė²ģ PGD ėė I-FGSM (Iterative-FGSM)ģ“ė¼ź³ ķ©ėė¤. ģ“ė ėģ ź°ģ„ ėģ ķė„ ė” ģģėė classģø ģ ģ¬ģ©ķė©“ most-likely attack, PGD-MLģ“ė¼ź³ ķ©ėė¤. ėģ ź°ģ„ ė®ģ ķė„ ė” ģģėė classģø ģ ģ¬ģ©ķź³ lossź° ź°ģķė ė°©ķ„ģ¼ė” ģ ėģ ģģ ė„¼ ģģ±ķė ź²ģ least likely attack, PGD-LLģ“ė¼ź³ ķ©ėė¤.
MI-FGSM FGSMģ ģµģ ķ ź³¼ģ ģģ ėŖØė©ķ ģ ģ¬ģ©ķģ¬ local optimaė” ģė “ķė ź²ģ ė°©ģ§ķź³ ģµģ ķė„¼ ė ģģ ģ ģ¼ė” ģ§ķķ ģ ģėė” ķė ė°©ė²ģ MI-FGSM (Momentum Iterative FGSM)ģ“ė¼ź³ ķ©ėė¤.
Idea
ģģ ė°©ė²ė¤ģ²ė¼ źø°ģ”“ ģ ėģ ź³µź²© ė°©ė²ė¤ģ softmax ķ¹ģ pre-softmaxė„¼ ģ¬ģ©ķģ¬ ģ ėģ ģģ ė„¼ ģģ±ķė¤. ķģ§ė§ ģ“ ė°©ė²ģ¼ė” ģģ±ķ ģ ėģ ģģ ė ė¤ķøģķ¬ź° ģė³ø classė” ģ ėė” ė¶ė„ķģ§ ėŖ»ķė ź±“ ė§ģ§ė§ ģė³ø classģ ė¹ģ·ķ classė” ė¶ė„ķź±°ė ź° layerģ featureģ ģė³ø ģ“ėÆøģ§ģ ź³ ģ ķ ģ ė³“ź° ėØģģė¤ė ė¬øģ ģ ģ“ ģģ“ģ ė³ø ė ¼ė¬øģģė featureė„¼ ģ“ģ©ķģ¬ ģ ėģ ģģ ė„¼ ģģ±ķė ė°©ė²ģ ģ ģķģµėė¤. ź·øė¦¬ź³ ģ ėģ ģģ ģ ėķ ģė”ģ“ ķź° ģ§ķģø NLORź³¼ OLNRģ ģ ģķģµėė¤.
3. Method
Proposed evaluation metrics PGD-MLģ ź³µź²© ģ ģ ź°ģ„ ėģ ķė„ ė” ģģø”ėģė classė” ģøģėģ§ ģģģ¼ ķėÆė” ģė³ø ģ“ėÆøģ§ģ ė¹ģ·ķ classė” ģøģėėė” ģ ėģ ģģ ź° ģģ±ė ģ ģģµėė¤. ė°ė©“ PGD-LLģ ź³µź²© ģ ģ ź°ģ„ ė®ģ ķė„ ė” ģģø”ėģė classė” ģøģėģ“ģ¼ ķėÆė” ģė³ø ģ“ėÆøģ§ģ ģģ ķ ė¤ė„ø classė” ģøģėėė” ģģ±ėė¤ź³ ė³¼ ģ ģģµėė¤. ė¤ķøģķ¬ź° ģ ėģ ģģ ė„¼ ģė³ø classė” ģģø”ķģ§ ģģėģ§ ėķė“ė Fooling rateė§ģ¼ė” ģ“ė° ź³µź²© ė°©ė²ė¤ģ ģ ģ²“ģ ģø ģ±ė„ģ ė¹źµķźø° ģ“ė µģµėė¤. ė°ė¼ģ ė³ø ė ¼ė¬øģģė New Label Old Rank (NLOR)ź³¼ Old Label New Rank (OLNR)ė„¼ ģ ģķģµėė¤. NLORģ ź³µź²© ķģ ģ ģ¼ ėģ ķė„ ė” ģģø”ėė class (new label)ź° ź³µź²© ģ ģ ėŖ ė²ģ§øė” ėģ ķė„ ė” ģģø”ėģėģ§ė„¼ ėķė“ė ź²ģ“ź³ OLNRģ ź³µź²© ģ ģ ģ ģ¼ ėģ ķė„ ė” ģģø”ėė class(old label)ź° ź³µź²© ķģ ėŖ ė²ģ§øė” ėģ ķė„ ė” ģģø”ėėģ§ė„¼ ėķė ź²ģ ėė¤.
Proposed attack
4. Experiment & Result
Experimental setup
Dataset : NIPS 2017 adversarial competitionģģ ģ¬ģ©ėģė ImageNet-compatible dataset 1000ģ„ ģ¬ģ©
Baselines : PGD-ML, PGD-CW, PGD-LL
Evaluation metric : Fooling Rate, NLOR, ONLR
Result
5. Conclusion
ģ ėģ ģģ ģ ėķ ģė”ģ“ ķź° ģ§ķģø OLNR, NLORģ ķµķ“ źø°ģ”“ ģ ėģ ź³µź²©ģ ķź³ė„¼ ķģøķģģµėė¤.
ė¤ķøģķ¬ģ softamx ėė pre-softmaxė„¼ ģ¬ģ©ķė źø°ģ”“ ģ ėģ ź³µź²© ė°©ė²ė¤ė³“ė¤ ė³ø ė ¼ė¬øģģ ģ ģķ featureė„¼ ģ“ģ©ķė ź³µź²© ė°©ė²ģø FDAģ ź³µź²© ģ±ė„ģ“ ģ°ģķė¤ė ź²ģ ģ¤ķģ ķµķ“ ģ ģ¦ķģģµėė¤.
Take home message (ģ¤ėģ źµķ)
ģ ėģ ģģ ė„¼ ģģ±ķė ź³¼ģ ģ fatureė„¼ ģ“ģ©ķģ¬ ģ ėģ ź³µź²©ģ ģ±ė„ģ ķ„ģģķµėė¤.
Author / Reviewer information
Author
ź¹ģ¤ģ§ (Kim Yoonji)
KAIST EE
yoonjikim@kaist.ac.kr
https://github.com/yoonjii
Reviewer
Korean name (English name): Affiliation / Contact information
Korean name (English name): Affiliation / Contact information
Last updated