Pregled časopisa za duboko učenje - Universal Adversarial Patch

U ovom ću članku na početku raspravljati o generiranju protivgradnih slika, a zatim ću polako voditi raspravu prema zanimljivom članku koji su istraživači na Google Brain objavili o adversarijalnoj zakrpi slike (https://arxiv.org/pdf/1712.09665 pdf). Ovaj rad predstavlja generičku zakrpu slike, koja bi dodavanjem slika uzrokovala pogrešnu klasifikaciju bilo koje Neuronske mreže. Sami su autori rada to demonstrirali videozapisom na youtubeu:

Otkrijmo prvo zašto se takvi protivnici mogu formirati na prvom mjestu.

Slabosti neuronskih mreža

Duboke neuronske mreže zasigurno proizvode rezultate visoke preciznosti za prepoznavanje objekata u posljednje vrijeme. Ipak, može se napraviti Neural Net da pogrešno klasificira sliku s minimalnim uznemirenostima. Pogledajmo moguće razloge:

  • Duboke neuronske mreže osposobljavaju se na fiksnom skupu podataka, pa bi preobrazbe ulaznih signala poput prevođenja ili rotacije mogle učiniti pogrešnim klasificiranjem. To također znači da bi mala količina šuma dodana na ulazni signal mogla uzrokovati pogrešno klasificiranje. Na primjer, dodavanje male količine šuma ulaznoj slici može uzrokovati da Neuralna mreža pogrešno klasificira sliku iako ljudsko oko ne bi vidjelo nikakvu promjenu slike. Ova slika bi vam dala ideju:

[Nedavno je objavljen neki rad na Capsule Networks Geffa Hintona, koji je invazivan na transformacije slike. Pa ipak, kapsule su ranjive na druge vrste napada. Čak su i Convneti invariantni na manje ili više razmjere i transformacije]

  • Također, današnji klasifikatori temeljeni na dubokom učenju također su uglavnom komadno linearni. Čak su i najpopularnije funkcije za aktiviranje poput ReLu-a (i to su inačice) djelomično linearne. Ovdje se isključuju i druge funkcije aktiviranja poput Sigmoid i Tanh jer one uzrokuju probleme poput "nestalog problema s gradijentom". Iako su neuronske mreže "nelinearni klasifikatori", oni dobivaju ovu takozvanu nelinearnost kroz više "linearnih" regija

Te slabosti Neuralnih mreža dovele su do čitavog polja zvanog „Adversarijalno duboko učenje“ (općenito „Adversaralno strojno učenje“ za bilo koju vrstu ulaznog signala)

Generiranje uporednih slika

Stvaranje protivinarnih slika za zavaravanje klasifikatora neuronske mreže nije novi problem. U prošlosti je bilo mnogo predloženih metoda za generiranje protivničkih primjera. Najjednostavniji način da to učinite bila bi promjena vrijednosti pojedinih piksela slike dok se vjerojatnost nove klase ne poveća. Matematički,

Jednostavna matematička jednadžba za izgradnju protivničkih slika

(Većina istraživača obično gornji pojam vjerojatnosti zamjenjuje vjerojatnošću zapisnika)

Postoje i iterativne metode zasnovane na gradijentu kao što su, metoda brzog gradijentnog znaka (FGSM), metoda Iterativnog gradijenta i Iterativna metoda najmanje vjerojatne klase za dobivanje protivničkih primjera. Ove metode prvenstveno koriste gradijent troška (J) izlazne klase u odnosu na ulaznu sliku, da bi iterativno promijenili ulaznu sliku na temelju gradijenta. Pogledajmo matematičku jednadžbu FGSM:

FGSM

Ukratko, FGSM iterativno povećava ulazni signal za mali iznos u smjeru gradijenta troškova u odnosu na ulaz.

Osim gore spomenutih tehnika, naravno da postoje i popularne GAN (Generative adversarial network) za generiranje protivničkih slika.

Iako gore navedene metode generiraju zadovoljavajuće primjere primjeraka, nisu dovoljno čvrste za rad na ekvivalentno transformiranim slikama. Ovaj rad pod naslovom „Mehanizmi utemeljeni na fovizaciji ublažavaju protivničke primjere“ autora Luo et. al, pokazuje da gornji primjeri primjeraka nisu uspjeli kada su obrezani duž predmeta koji se zanima (Foveated). To je zbog toga što je Convnets čvrst prema skaliranju i prevođenju. Ali takvo se pravilo transformacije ne primjenjuje na buku ili uznemirenost koja su dodana slici, tj. Poremećaji nisu dovoljno snažni da bi prevarili Convnet čak i nakon što se slika transformira. Drugi rad pod naslovom "NE trebate brinuti zbog primjera opreza u otkrivanju objekata u autonomnim vozilima" ima gotovo istu namjeru.

Dakle, je li uopće moguće proizvesti robustan niz protivgradnih slika? Pa, u posljednje vrijeme je bilo nekoliko zanimljivih radova koji raspravljaju o stvaranju snažnih protivničkih primjera. Pogledati ćemo neke od njih:

  • Sintetiziranje snažnih primjeraka (kroz očekivanje preobrazbe)
  • Nadmetanje zakrpa
  • Prema neprimjetnim i robusnim protivničkim primjerima napada na neuronske mreže

Mi ćemo uglavnom proučiti prva dva rada.

Očekivanje preobrazbe (EOT)

Rad iz prvog rada (tj. Sintetizacija robusnih protivničkih primjera) daje adverzarijske primjere koji su dovoljno robusni da „zavaraju“ klasifikator neuronske mreže u većini transformacija slike. Ono što se ovdje događa jest da se očekivana vjerojatnost klase maksimizira, preko svih mogućih funkcija transformacije (t ~ T), s ograničenjem na Očekivanu učinkovitu udaljenost između transformirane izvorne i transformirane poremećene slike. Pokušajmo razumjeti što to znači

U EOT-u je davana slika prvo napravljena protivnički način pomoću jedne od gore navedenih metoda. Sada definiramo transformacijski prostor "T" koji sadrži transformacije poput rotacije, skaliranja, prijevoda i tako dalje. Zatim izračunavamo očekivanje vjerojatnosti zapisnika željene oznake klase. To izgleda matematički:

Očekivana vjerojatnost dnevnika željene klase s obzirom na transformacije

Potom pokušavamo maksimizirati tu očekivanu vjerojatnost pod ograničenjem da je Očekivana efektivna udaljenost između transformiranog originala i transformirane perturbirane slike manja od neke vrijednosti 'ε'. Razmatrajući očekivanu vjerojatnost (ili vjerojatnost dnevnika), obračunavamo sve transformacije prisutne u prostoru Transformacije. A ograničenje je osigurati da generirane slike budu što bliže izvornoj transformaciji. Ovako izgleda konačna jednadžba:

Nadmetanje zakrpa

Iz gornjeg videozapisa jasno je da tražimo "univerzalni" zakrpa slike, koja će se, kada se doda bilo kojoj slici, neuronska mreža pogrešno klasificirati. Za to se prvo definira operatorA (). Operator A uzima zakrpu, sliku, koordinira u slici (da bi postavio zakrpu) i transformacije poput prevođenja, rotacije i skaliranja koje treba primijeniti na zakrpu.

Intuicija koja stoji iza operatera

Za pronalaženje optimalnog zakrpa koristi se Expectation over Transformation za datu oznaku da bi se maksimizirala vjerojatnost pogrešnog klasificiranja. Matematički, izgleda ovako:

Izvorni papir koristio je "Toster" kao protivnički razred, a završni flaster je izgledao ovako:

Jedno ograničenje ove nadmetače je da ne možete prevariti modele otkrivanja objekata (modele koji na slici prepoznaju različite objekte). Na primjer, nedavno sam pokušao prenijeti sliku s ovom zakrpom na Facebook (: P). Budući da Facebook navodi sva predviđanja o slici u alt atributu img oznake u kojoj se nalazi, možete provjeriti njena predviđanja čim pošaljete sliku. Evo što sam pokušao:

Lijevo: moj facebook post, Desno: Alati za Chrome Dev

(: P)

[Treći rad s gornjeg popisa, tj. „Prema neprimjetnim i robusnim protivničkim primjerima napada na neuronske mreže“ izašao je prije otprilike tjedan dana. U tom su radu uzeli u obzir ljudski percepcijski sustav stvarajući protivničke primjere]

Sažetak

  • Stvaranje protivpožarnog sadržaja: U osnovi povećavamo vjerojatnost pogrešnog klasificiranja ponovljenim dodavanjem buke. Neke popularne tehnike poput FGSM koriste znak nagiba troškova kako bi dodale buku
  • Slabost: Te metode nisu dovoljno čvrste da „prevariti“ neuronsku mrežu kada se ulazna uznemirena slika transformira (arxiv: 1511.06292 i arxiv: 1707.03501)
  • Očekivanje nad transformacijom: Prvo generiramo protivničku sliku koristeći jednu od gore navedenih metoda. Zatim maksimiziramo očekivanu vjerojatnost dnevnika klase za datu transformaciju izmučene slike. To je očekivanje nad svim transformacijama u prostoru za transformaciju 'T'
  • Adversarni zakrpa: definira operatera "A" koji primjenjuje zakrpu na zadanu sliku. Zatim se očekivanje nad transformacijom koristi kako bi se povećala vjerojatnost dnevnika nove klase, pod ograničenjem da ne odstupa previše od početnog zakrpa