特徴ノイズ除去による敵対的ロバスト性の向上

画像分類システムに対する敵対的攻撃は、畳み込みネットワークに課題を提示するとともに、それらの理解の機会を提供しています。本研究では、画像への敵対的摂動がこれらのネットワークによって構築される特徴量にノイズをもたらすことを示唆しています。この観察に基づいて、我々は特徴量のノイズ除去を行うことで敵対的堅牢性を向上させる新しいネットワークアーキテクチャを開発しました。具体的には、非局所平均やその他のフィルタを使用して特徴量のノイズを除去するブロックを含むネットワークを開発し、全体的なネットワークはエンドツーエンドで学習されます。敵対的訓練と組み合わせることで、我々の特徴量ノイズ除去ネットワークは白箱および黒箱攻撃設定において既存の最先端技術よりも大幅に改善した敵対的堅牢性を達成しています。ImageNetにおいて、10反復PGD白箱攻撃（先行技術では27.9%の精度）に対して、我々の方法は55.7%の精度を達成しました。さらには2000反復PGD白箱攻撃という極めて厳しい条件下でも、42.6%の精度を確保しています。また、2018年の「競争的敵対的攻撃と防御コンペティション (CAAD)」において当方法は第1位となりました。秘密のImageNetのようなテストデータセットで48人の未知の攻撃者に対し50.6%の分類精度を達成し、2位の手法より約10%上回りました。コードはhttps://github.com/facebookresearch/ImageNet-Adversarial-Training で公開されています。注：「非局所平均」（non-local means）や「エンドツーエンド」（end-to-end）などの専門用語については一般的な日本語訳を使用しました。「PGD」（Projected Gradient Descent）や「CAAD」（Competition on Adversarial Attacks and Defenses）などの固有名詞については原文表記も併記しました。