Deep Learning Papers áttekintés - Universal Adversarial Patch

Ebben a cikkben kezdetben megvitatom a versenytársak képeinek létrehozásáról, majd lassan irányom a vitát egy érdekes, a Google Brain kutatói által közzétett, az ellenfél képének javításáról szóló cikk felé (https://arxiv.org/pdf/1712.09665). .pdf). Ez a cikk bemutat egy általános képi javítást, amely a képekhez adva minden neurális hálózatot tévesen osztályoz. A cikk szerzői maguk egy youtube videón keresztül mutatták be ezt:

Először derítsük ki, hogy miért képezhetnek ilyen ellenfelek.

A neurális hálózatok gyengeségei

A mély neurális hálózatok minden bizonnyal „nagy pontosságú” eredményeket hoztak az objektumok felismerése érdekében az utóbbi időben. Ennek ellenére egy neurális hálózat tévesen osztályozhatja a képet minimális zavarral. Vessen egy pillantást a lehetséges okokra:

  • A mély neurális hálók rögzített adatsorra vannak kiképezve, így a bemeneti jelek átalakulása, például fordítás vagy forgatás tévesen osztályozhatja. Ez azt is jelenti, hogy a bemeneti jelhez hozzáadott kis mennyiségű zaj hibás besorolást okozhat. Például, ha kis mennyiségű zajt ad hozzá a bemeneti képhez, akkor a neurális hálózat hibásan osztályozhatja a képet, még akkor is, ha az emberi szem nem érzékeli a kép változását. Ez a kép ötletet ad neked:

[Nemrégiben Geoff Hinton készített néhány munkát a Capsule Networks-en, amelyek változatlanok a kép-átalakulásokhoz. Ennek ellenére a kapszulák érzékenyek az ellenfél támadásainak más típusaira. És még a Convnets is többé-kevésbé méretarányos és átalakító invariáns.

  • A mai Deep Learning alapú osztályozók szintén többnyire lineárisak. Még a legnépszerűbb aktiválási funkciók, mint például a ReLu (és annak változatai), részben lineárisak. Más aktiválási funkciók, mint például a Sigmoid és a Tanh, itt kizártak, mivel olyan problémákat okoznak, mint a „Eltűnő színátmeneti probléma”. Noha a neurális hálózatok „nemlineáris osztályozók”, ezt az úgynevezett nemlinearitást több „lineáris” régióval érik el.

A neurális hálók ezen gyengeségei eredményeként létrejött egy egész mező, melynek neve „Versenyképes mély tanulás” (általában „Versenyképes gépi tanulás” bármilyen típusú bemeneti jel számára).

Versenyképes képek létrehozása

Ellentétes képek létrehozása a neurális hálózati osztályozó becsapására nem új probléma. A múltban nagyon sok javasolt módszer volt a versenytársak példáinak előállítására. Ennek legegyszerűbb módja a kép egyes pixeleinek értékének megváltoztatása, amíg az új osztály valószínűsége nem lesz maximális. matematikailag

Egyszerű matematikai egyenlet a versenytársak képeinek elkészítéséhez

(A legtöbb kutató a fenti valószínűségi kifejezést általában a log valószínűséggel helyettesíti)

Vannak olyan gradiens alapú iteratív módszerek is, mint például a gyors gradiens jel módszer (FGSM), az Iteratív gradiens jel módszer és az Iteratív legkevésbé valószínű osztály módszer a kontradiktórius példák előállításához. Ezek a módszerek elsősorban a kimeneti osztály (J) gradiensét használják a bemeneti képhez viszonyítva, hogy a bemeneti képet iteratívan megváltoztassák a gradiens alapján. Vessen egy pillantást az FGSM matematikai egyenletére:

FGSM

Dióhéjban az FGSM iteratíven növeli a bemeneti jelet kis összeggel a bemenőhöz viszonyított költséggradiens irányában.

A fenti technikákon kívül természetesen vannak a népszerű GAN-ek (generációs párbeszédhálózatok), amelyek versenytársak képeit generálják.

Noha a fenti módszerek kielégítő kontradiktórius példákat hoznak létre, nem elég erősek ahhoz, hogy egyenértékűen átalakított képeken dolgozzanak. Ezt a tanulmányt Luo et. „Fovatációs alapú mechanizmusok enyhítik az ellenállás példáit” címe. al. megmutatja, hogy a fenti kontradiktórius példák kudarcot vallnak, ha azokat az érdeklődés tárgya mentén vágják (foveated). Ennek oka az, hogy a Convnets erős a méretezés és a fordítás felé. De egy ilyen átalakítási szabály nem vonatkozik a képhez hozzáadott zajra vagy zavarra, azaz a perturbációk nem elég robusztusak ahhoz, hogy a Convnet-et becsapják még a kép átalakítása után is. Egy másik cikk, amelynek „Nem kell aggódnia a versenytársak példáin az autonóm járművek tárgyainak felismerésekor” szinte ugyanaz a szándéka.

Tehát lehet-e elkészíteni is egy robusztus ellenfél képeket? Nos, az utóbbi időben voltak érdekes tanulmányok, amelyek megvitatják a robusztus versenytársak példáit. Nézzük meg néhányat ezekről:

  • Robusztus kontradiktórius példák szintetizálása (az átalakulás várakozása révén)
  • Versenyképes javítás
  • Az észlelhetetlen és robusztus versenytárs példa támadások felé a neurális hálózatok ellen

Elsősorban az első 2 tanulmányt vizsgáljuk.

Várakozás az átalakulás felett (EOT)

Az első cikkből származó munka (azaz az ellenálló szempontok szintetizálása) olyan kontrasztrális példákat hoz létre, amelyek elég robusztusak ahhoz, hogy a Neural Network osztályozót „becsapják” a legtöbb képtranszformáció alatt. Itt lényegében az történik, hogy az osztály várható valószínűségét az összes lehetséges transzformációs függvénynél (t ~ T) maximalizáljuk, a transzformált eredeti és a transzformált zavart kép közötti várható tényleges távolság korlátozásával. Próbáljuk megérteni, hogy ez mit jelent.

Az EOT-ban az előírt képet először a fent említett módszerek egyikével versengővé teszik. Most meghatározunk egy „T” transzformációs teret, amely olyan transzformációkat foglal magában, mint például forgatás, méretezés, fordítás és így tovább. Ezután kiszámoljuk a kívánt osztálycímke log-valószínűségének várakozását. Így néz ki matematikailag:

A kívánt osztály várható log valószínűsége a transzformációk alapján

Ezután megpróbáljuk maximalizálni ezt a várható valószínűséget azzal a feltétellel, hogy a transzformált eredeti és a transzformált zavart kép közötti várt effektív távolság kisebb, mint az „ε” érték. Tehát, figyelembe véve a várható valószínűséget (vagy log valószínűséget), az összes transzformációt figyelembe vesszük, amely a transzformációs térben található. A kényszer annak biztosítása, hogy a generált képek a lehető legközelebb álljanak az eredeti átalakításhoz. Így néz ki a végső egyenlet:

Versenyképes javítás

A fenti videó alapján egyértelmű, hogy egy „univerzális” képjavítót keresünk, amely bármilyen képhez hozzáadva egy neurális hálózatot tévesen osztályozza a képet. Ehhez először egy operátortA () határoznak meg. Az A operátor beilleszti a javítást, egy képet, koordinálja a képet (a javítás felhelyezéséhez) és a javításon végrehajtandó transzformációkat, például fordítást, elforgatást és méretezést.

Az 'A' operátor mögötti intuíció

Az optimális javítás megtalálásához az adott címkén a Expectation Over Transformation-t használják a téves osztályozás valószínűségének maximalizálása érdekében. Matematikailag így néz ki:

Az eredeti papír a „Kenyérpirítót” használták a versenytárs osztályaként, a végső javítás így néz ki:

Ennek a kontradiktórius javításnak az egyik korlátozása az, hogy nem bolondíthatja az objektumdetektálási modelleket (modellek, amelyek a kép különböző tárgyait felismerik). Például a közelmúltban megpróbáltam egy képet feltölteni ezzel a javítással a Facebook-ra (: P). Mivel a Facebook felsorolja a képre vonatkozó összes előrejelzést az img címke alttribútumában, amelyben megtalálható a kép, ellenőrizheti annak előrejelzését, amint feltölti a képet. Így próbáltam:

Balra: A facebook-üzenet, jobbra: Chrome Dev eszközök

(: P)

[A fenti lista 3. cikke, azaz „Az észlelhetetlen és erőteljes kontradiktórius példák a neurális hálózatok elleni támadások felé” alig egy héttel ezelőtt jelent meg. Ebben a cikkben figyelembe vették az emberi észlelési rendszert, miközben egymással versengő példákat generáltak]

összefoglalás

  • Ellentétes tartalom létrehozása: A zaj ismételt hozzáadásával lényegében növelik a téves osztályozás valószínűségét. Néhány népszerű technika, például az FGSM a zaj hozzáadására használja a költséggradiens jelét
  • Gyengeség: Ezek a módszerek nem elég robusztusak a neurális hálózat „megtévesztésére”, amikor a bemeneti zavart kép átalakul (arxiv: 1511.06292 és arxiv: 1707.03501)
  • Várakozás a transzformáció felett: Először egy versenytárs képet generálunk a fenti módszerek egyikével. Ezután maximalizáljuk az osztály várható log log valószínűségét a zavart kép adott transzformációjára. Ez az elvárás a „T” transzformációs térben levő összes transzformáció felett van
  • Versenyképes javítás: Az „A” operátort határozza meg, amely javítást alkalmaz az adott képen. Ezután a várakozást a transzformációval az új osztály naplózási valószínűségének maximalizálására használják azzal a feltétellel, hogy az nem tér el túl sokat a kezdő javítástól.