적대적 공격에 대응하는 이미지 복원 기반 방어 기법의 속도 개선
Performance Improvement of Image Reconstruction Based Defense against Adversarial Attack
초록/요약
이미지 처리, 음성 인식 등 다양한 분야에서 사용되는 심층 신경망이 의도적으로 조작된 이미지인 적대적 예제에 매우 취약하며, 적대적 예제가 심층 신경망의 오동작을 유발할 수 있다는 사실이 밝혀졌다. 이에 많은 사람이 적대적 예제를 올바르게 추론하기 위해 심층 신경망의 견고성을 높이기 방법을 채택하고, 이를 위한 방어 기법에 대해 연구를 진행하고 있다. 하지만 대부분의 적대적 예제는 사람의 눈으로는 판별할 수 없으며, 어떤 적대적 공격 유형이 사용되었는지 알 수 없다는 특징을 갖고 있기 때문에 효과적인 방어 기법 구축에 어려움을 겪고 있다. 또한 이미지 자체를 복원시켜주는 공격이 아니기 때문에 방어 기법을 적용한 신경망에 대해서만 높은 견고성을 갖고 있다. 본 논문에서는 적대적 예제가 특정 심층 신경망이 아닌, 다양한 심층 신경망에서 올바르게 추론될 수 있도록, 적대적 예제를 원본 이미지로 복원하는 기법을 제안한다. 기존에 제안된 적대적 예제를 원본 이미지로 복원하기 위한 기법은 수행 시간은 빠르지만 높은 정확도를 얻지 못하거나, 높은 정확도를 얻지만 수행 시간이 오래 걸린다는 문제가 있었다. 본 논문에서 이러한 문제를 해결하기 위해 높은 정확도를 얻지만 수행 시간이 오래 걸리는, 특징 학습 관점에서 높은 학습 선호도를 갖고 있는, DIP 생성기의 원인을 이미지의 특성과 연관이 있다는 것을 파악하고, 적대적 예제마다 효과적인 이미지 복원 시간을 찾기 위한 방안을 제시한다.
more초록/요약
DNN(Deep neural networks) used in various fields such as image processing and speech recognition are vulnerable to adversarial examples that is intentionally manipulated images, since adversarial examples can cause misclassify of DNN. Thus many people have adopted methods to increase the robustness of DNN in order to predict correct output for adversarial examples, and are studying defense methods for that purpose. However, adversarial examples are indistinguishable to the human eye and have the characteristic of not knowing which adversarial attack type was used, making it difficult to build effective defense method. In addition, most defense methods are not images reconstruction method, so adversarial examples cannot be used in other DNNs. In this paper, I proposes a way to reconstruct a adversarial example to the original image so that it can be to predict correct output from various DNNs. The method for reconstructing a recently proposed adversarial example to the original image has the trade-off that the execution time is fast but high accuracy cannot be obtained, or high accuracy is obtained but the execution time is long. In this paper, using a Deep Image Prior, that is used to reconstruct image using the feature of the image, I propose defense method that is to get high accuracy and performance for execution time.
more목차
제1장 서론 1
제2장 관련 연구 3
제1절 적대적 공격(Adversarial Attack) 3
제1항 회피 공격(Evasion Attack) 5
제2항 중독 공격(Poisoning Attack) 6
제2절 적대적 공격에 대응하는 방어 기법 7
제1항 회피 공격에 대응하는 방어 기법 7
제2항 중독 공격에 대응하는 방어 기법 8
제3장 배경지식 9
제1절 FGSM(Fast Gradient Sign Method) 9
제2절 DIPDefend(Deep Image Prior Defend) 11
제1항 Deep Image Prior(DIP) 11
제2항 DIPDefend 15
제3절 미디언 필터(Median Filter) 19
제4장 제안하는 이미지 복원 기법 20
제1절 저역 통과 필터 적용 20
제2절 이미지의 특성에 따른 DIP 횟수 변화 22
제3절 제안하는 기법의 알고리즘 24
제1항 저역 통과 필터를 이용한 정답 레이블 탐색 24
제2항 최적의 반복 횟수(Optimum Iteration Number) 26
제5장 평가 28
제1절 실험 환경 및 공격 평가 28
제2절 방어 기법별 정확도 및 시간 비교 29
제6장 결론 및 향후 연구 33
참고문헌 34
Abstract 37
