|
2020-05-03 20:10:20 この記事は、オーストラリアのスウィンボーン大学のランジー・ドゥアン氏が執筆したCVPR 2020論文「敵対的カモフラージュ:自然なスタイルで物理世界への攻撃を隠蔽する」を紹介しています。著者|ランジー・ドゥアン 編集者|モー・コン 論文リンク: https://arxiv.org/abs/2003.08757 オープンソースリンク: https://github.com/RjDuan/AdvCam-Hide-Adv-with-Natural-Styles 自動運転車に乗って道路を走っているところを想像してみてください。右側に一時停止の標識があり、少し古いことを除けば、全く普通の標識に見えます。あなたは特に気にせず、仕事に集中し続けますが、車は止まりません… 世の中に数多くいる錬金術師の一人なら、敵対的事例という言葉を耳にしたことがあるでしょう。ニューラルネットワークにおける予期せぬバグとして、敵対的事例は近年大きな注目を集めています。あなたの頭の中では、敵対的事例は次のようなイメージかもしれません。 図1. FGSM [1] これは、最初に提案された敵対的例[1]の形態です。元の画像(左)と比較して、敵対的例(右)はごくわずかな変化しか加えておらず、ニューラルネットワークはパンダをテナガザルと認識します。人間の目には「普通の画像」と映るコンピュータビジョンシステムの意思決定原理の違いを明らかにするため、その後の一連の研究では、研究者たちは敵対的例をLpノルムで制限された小さな変更のみに限定し、変更の知覚不能性を維持してきました。 しかし、現実環境における様々な要因(照明、撮影距離など)により、このような微量の干渉はカメラなどのデバイスでは容易に捉えられず、デジタル世界でのみ役割を果たすことができます。もちろん、2017年にBrownらが提案した敵対的パッチ[2]のように、敵対的事例を現実世界に持ち込み、脅威を生み出した研究もあります。 図2. 敵対的パッチ[2] 交通標識に貼られる「交通違反防止ステッカー」[3] 図4.RP2 [3] しかし、こうした取り組みによって敵対的事例が現実世界に持ち込まれる一方で、過剰な干渉によって生み出される奇妙なパターンも容易に検知されてしまう。では、現実世界においても敵対的事例を検知不能にする方法はあるのだろうか? この記事では、CVPR 2020の論文「敵対的カモフラージュ(自然なスタイルで物理世界への攻撃を隠蔽する)」を紹介します。この研究では、スウィンボーン大学、メルボルン大学、上海交通大学の研究者が、スタイル転送と敵対的攻撃を組み合わせ、敵対的サンプルのスタイルをパーソナライズするフレームワーク(AdvCam)を開発しました。攻撃者は好みのスタイルと攻撃領域を自由に選択し、攻撃を開始・隠蔽することができます。これにより、敵対的攻撃はより魅力的なものになります。 たとえば、次の写真では、何が変わったかわかりますか? 拳銃かトイレットペーパーか? 車か信号か? ナイフの鞘か財布か? ビーグル犬か熊の皮? 図5. Lpノルムを制約することによって敵対的サンプルが元の画像に可能な限り類似することを要求した以前の研究とは異なり、この論文では、スタイル転送手法を融合して敵対的サンプルの知覚不能性を実現することで新しいパラダイムを定義します。 攻撃者は、標的の周囲の環境を特定した後、カスタムスタイルを使用して攻撃対象オブジェクトを偽装することができます。例えば、交通標識への攻撃は、泥の跡、色あせた色、雪の跡など、自然で一般的な外観に任意に偽装することができます。 図6 現実の物理世界では、このカモフラージュ方法により、敵対的な攻撃をさまざまな形で偽装し、さまざまな場所に隠すことができます。 たとえば、ランダムに吊るされた交通標識は、実際には「理髪店」です(何だって?!)。 たとえば、「tree bark」は道路標識としても識別できます。 著者は、この偽装のもう一つの用途、つまり個人のプライバシー保護についても実証しています。例えば、様々な監視装置が絡む状況において、個人はカスタムメイドの監視対策Tシャツを着用することで、ディープラーニングを活用した監視装置による追跡を回避することができます。 図7. この特別デザインのTシャツを着たユーザーの写真をオンラインにアップロードすると、Google画像検索による認識を阻止できます。また、この手法は、AIツールが個人情報を含む画像を自動的にキャプチャするのを防ぐこともできます。楽しくて安全です!下の画像はGoogle画像検索の検索結果です。ブルドッグです! 図8. 参照: [1] クリスチャン・セゲディ、ヴォイチェフ・ザレンバ、イリヤ・サツケヴァー、ジョアン・ブルーナ、ドゥミトル・エルハン、イアン・グッドフェロー、ロブ・ファーガス。ニューラル ネットワークの興味深い特性。 ICLR、2013年。 [2] TomB Brown、Dandelion Mane、Aurko Roy、Mart ´ ´ın Abadi、Justin Gilmer. 敵対的パッチ. NIPSワークショップ、2017 [3] IvanEvtimov、Kevin Eykholt、Earlence Fernandes、Tadayoshi Kohno、Bo Li、AtulPrakash、Amir Rahmati、Dawn Song. ディープラーニングモデルに対する堅牢な物理世界攻撃. CVPR、2018年. https://www.toutiao.com/i6822589138202526221/ |
