Как обмануть нейронную сеть? Синтез шума для уменьшения точности нейросетевой классификации изображений
Авторы: Карпенко А.П., Овчинников Вад.А. | Опубликовано: 29.03.2021 |
Опубликовано в выпуске: #1(134)/2021 | |
DOI: 10.18698/0236-3933-2021-1-102-119 | |
Раздел: Информатика, вычислительная техника и управление | Рубрика: Системный анализ, управление и обработка информации | |
Ключевые слова: глубокая нейронная сеть, классификация изображений, синтез атакующего шума, графические ускорители |
Цель исследования --- разработка алгоритмического и программного обеспечения для синтеза шума с намерением совершения атак на нейронные сети глубокого обучения, предназначенные для классификации изображений. Приведены результаты анализа методов проведения атак на такие нейронные сети. Задача синтеза "атакующего" шума сформулирована как задача многомерной условной оптимизации. Основные особенности предложенного алгоритма синтеза атакующего шума заключаются в следующем: ограничения на шум учитываются с помощью функции clip; в качестве критериев эффективности атакующего шума используются рейтинги top-1, top-5 ошибок классификации; для обучения нейронных сетей применяются алгоритмы обратного распространения ошибки и градиентного спуска Адама; указанная задача оптимизации решается методом стохастического градиентного спуска; в процессе обучения нейронных сетей используется техника аугментации. Разработанное программное обеспечение работает под управлением операционных систем Ubuntu 18.04 и CentOS 7, написано на языке программирования Python с использованием фреймворка динамического дифференцирования графа вычислений Pytorch. Среда разработки Visual Studio Code. Для ускорения вычислений использованы графический процессор Nvidia TITAN XP и технология CUDA. Приведены результаты широкого вычислительного эксперимента по синтезу неуниверсального и универсального атакующих шумов для восьми глубоких нейронных сетей. Показано, что предложенный атакующий алгоритм может увеличивать ошибку нейронной сети в 8 раз
Литература
[1] Tian X., Zhang J., Ma Z., et al. Deep LSTM for large vocabulary continuous speech recognition. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1703.07090.pdf (дата обращения: 15.12.2020).
[2] Shen J., Pang R., Weiss R.J., et al. Natural TTS synthesis by conditioning WaveNet on Mel spectrogram predictions. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1712.05884.pdf (дата обращения: 15.12.2020).
[3] Krizhevsky A., Sutskever I., Hinton G.E. ImageNet classification with deep convolutional neural networks. 25th Int. Conf. Neural Information Processing Systems. Curran Associates, 2012, pp. 1097--1105.
[4] Rozsa A., Gunther M., Rudd E.M., et al. Facial attributes: accuracy and adversarial robustness. Pattern Recognit. Lett., 2019, vol. 124, pp. 100--108. DOI: https://doi.org/10.1016/j.patrec.2017.10.024
[5] Eykholt K., Evtimov I., Fernandes E., et al. Robust physical-world attacks on deep learning models. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1707.08945.pdf (дата обращения: 15.12.2020).
[6] Lecun Y. Gradient-based learning applied to document recognition. Proc. IEEE, 1998, vol. 86, iss. 11, pp. 2278--2324. DOI: https://doi.org/10.1109/5.726791
[7] Leсun Y., Cortes C., Burges C. MNIST handwritten digit database. yann.lecun.com: веб-сайт. URL: http://yann.lecun.com/exdb/mnist (дата обращения: 15.12.2020).
[8] Janocha K., Czarnecki W.M. On loss functions for deep neural networks in classification. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1702.05659.pdf (дата обращения: 15.12.2020).
[9] van den Oord A., Dieleman S., Zen H., et al. WaveNet: a generative model for raw. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1609.03499.pdf (дата обращения: 15.12.2020).
[10] Rozsa A., Gunther M., Rudd E.M., et al. Are facial attributes adversarially robust? arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1605.05411.pdf (дата обращения: 15.12.2020).
[11] Kurakin A., Goodfellow I., Bengio S. Adversarial examples in the physical world. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1607.02533.pdf (дата обращения: 15.12.2020).
[12] Goodfellow I.J., Shlens J., Szegedy C. Explaining and harnessing adversarial examples. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1412.6572.pdf (дата обращения: 15.12.2020).
[13] Moosavi-Dezfooli S.M., Fawzi A., Fawzi O., et al. Universal adversarial perturbations. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1610.08401.pdf (дата обращения: 15.12.2020).
[14] Szegedy C., Zaremba W., Sutskever I., et al. Intriguing properties of neural networks. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1312.6199.pdf (дата обращения: 15.12.2020).
[15] Kurakin A., Goodfellow I., Bengio S. Adversarial machine learning at scale. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1611.01236.pdf (дата обращения: 15.12.2020).
[16] Miyato T., Maeda S., Koyama M., et al. Virtual adversarial training: a regularization method for supervised and semi-supervised learning. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1704.03976.pdf (дата обращения: 15.12.2020).
[17] Moosavi-Dezfooli S.M., Fawzi A., Frossard P. DeepFool: a simple and accurate method to fool deep neural networks. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1511.04599.pdf (дата обращения: 15.12.2020).
[18] Su J., Vargas D.V., Kouichi S. One pixel attack for fooling deep neural networks. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1710.08864.pdf (дата обращения: 15.12.2020).
[19] Das S., Suganthan P.N. Differential evolution: a survey of the state-of-the-art. IEEE Trans. Evol. Comput., 2011, vol. 15, no. 1, pp. 4--31. DOI: https://doi.org/10.1109/TEVC.2010.2059031
[20] Russakovsky O., Deng J., Su H., et al. ImageNet large scale visual recognition challenge. Int. J. Comput. Vis., 2015, vol. 115, no. 3, pp. 211--252. DOI: https://doi.org/10.1007/s11263-015-0816-y
[21] Kingma D.P., Ba J. Adam: a method for stochastic optimization. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1412.6980.pdf (дата обращения: 15.12.2020).
[22] Ruder S. An overview of gradient descent optimization algorithms. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1609.04747.pdf (дата обращения: 15.12.2020).
[23] Simonyan K., Zisserman A. Very deep convolutional networks for large-scale image recognition. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1409.1556.pdf (дата обращения: 15.12.2020).
[24] He K., Zhang X., Ren Sh., et al. Deep residual learning for image recognition. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1512.03385.pdf (дата обращения: 15.12.2020).
[25] Huang G., Liu Z., van der Maaten L., et al. Densely connected convolutional networks. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1608.06993.pdf (дата обращения: 15.12.2020).
[26] Szegedy C., Liu W., Jia Y., et al. Going deeper with convolutions. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1409.4842.pdf (дата обращения: 15.12.2020).
[27] Sandler M., Howard A., Zhu M., et al. MobileNetV2: inverted residuals and linear bottlenecks. arxiv.org: веб-сайт. URL: https://arxiv.org/pdf/1801.04381.pdf (дата обращения: 15.12.2020).
[28] Torchvision.models. pytorch.org: веб-сайт. URL: https://pytorch.org/docs/stable/torchvision/models.html (дата обращения: 15.12.2020).