Core Concepts
提案手法DBMAは、訓練データにアクセスできない状況でも、黒箱モデルを敵対的攻撃から防御することができる。ウェーブレットベースのノイズ除去と再生成ネットワークを組み合わせることで、クリーンデータと敵対的サンプルの両方に対する精度を大幅に向上させることができる。
Abstract
本論文では、訓練データにアクセスできない状況でも黒箱モデルを敵対的攻撃から防御する手法DBMAを提案している。
まず、モデル窃取手法を使って黒箱モデルの代理モデルを構築し、合成データを生成する。次に、ウェーブレットベースのノイズ除去モジュール(WNR)を提案する。WNRは、ウェーブレット係数選択モジュール(WCSM)を使って、敵対的攻撃の影響が最も小さい係数を選択的に保持する。その後、U-Net ベースの再生成ネットワーク(Rn)を訓練して、WNRによって失われた高周波成分を復元する。
最終的に、WNRとRnを組み合わせた防御モジュールをBlack Boxモデルの前に配置する。この防御モジュールを通過した入力は、クリーンデータと敵対的サンプルの両方に対して高い精度を発揮する。
提案手法は、CIFAR-10とSVHNデータセットで評価され、既存手法と比較して大幅な精度向上を示している。特に、CIFAR-10データセットでは、クリーンデータの精度を維持しつつ、敵対的攻撃に対する精度を38.98%向上させることができた。
Stats
敵対的サンプルを生成する際、クリーンサンプルと比べて、ウェーブレルの高周波成分(LH、HL、HH領域)が大きく変化する。
ウェーブレルの低周波成分(LL領域)は、敵対的攻撃の影響が最も小さい。
Quotes
"我々の提案手法DBMAは、訓練データにアクセスできない状況でも、黒箱モデルを敵対的攻撃から防御することができる。"
"ウェーブレルベースのノイズ除去と再生成ネットワークを組み合わせることで、クリーンデータと敵対的サンプルの両方に対する精度を大幅に向上させることができる。"