Funktionsrauschenreduzierung zur Verbesserung der adversären Robustheit

Feindliche Angriffe auf Bildklassifizierungssysteme stellen Herausforderungen für Faltungsnetze dar und bieten gleichzeitig Chancen zur besseren Verständigung dieser. Diese Studie legt nahe, dass feindliche Störungen in Bildern zu Rauschen in den von diesen Netzen konstruierten Merkmalen führen. Angeregt durch diese Beobachtung entwickeln wir neue Netzarchitekturen, die die feindliche Robustheit durch Merkmalsrauschunterdrückung erhöhen. Insbesondere enthalten unsere Netze Blöcke, die die Merkmale mittels nicht-lokaler Mittel oder anderer Filter entrauschen; das gesamte Netz wird von Anfang bis Ende trainiert. Wenn mit feindlichem Training kombiniert, verbessern unsere Merkmalsrauschunterdrückungsnetze den aktuellen Stand der Technik in Bezug auf feindliche Robustheit sowohl bei White-Box- als auch bei Black-Box-Angriffsszenarien erheblich. Bei ImageNet erreicht unsere Methode unter 10-Iterationen-PGD-White-Box-Angriffen, bei denen frühere Arbeiten eine Genauigkeit von 27,9 % hatten, eine Genauigkeit von 55,7 %. Selbst unter extremen 2000-Iterationen-PGD-White-Box-Angriffen sichert unsere Methode eine Genauigkeit von 42,6 %. Unsere Methode belegte im Wettbewerb über Feindliche Angriffe und Verteidigungen (CAAD) 2018 den ersten Platz – sie erreichte eine Klassifikationsgenauigkeit von 50,6 % auf einem geheimen Testdatensatz, der dem ImageNet ähnelt, gegen 48 unbekannte Angreifer und übertreffen damit den zweitbesten Ansatz um etwa 10 %. Der Quellcode ist unter https://github.com/facebookresearch/ImageNet-Adversarial-Training verfügbar.