Lₚノルム歪み効率的敵対攻撃

敵対的事例は、十分に訓練されたモデルを誤分類させる強力な能力を示しています。現在の主流の敵対攻撃手法は、L₀ノルム、L₂ノルム、L_-ノルムのいずれかの歪みのみを考慮しています。L₀ノルムに基づく手法は、単一のピクセルに大きな修正を引き起こし、肉眼で検出可能な結果をもたらしますが、L₂ノルムおよびL_-ノルムに基づく手法は、常にすべてのピクセルに微小な摂動を拡散するため、敵対的防御に対して脆弱な頑健性に悩まされています。より現実的な敵対的摂動は、疎で知覚できないべきです。本論文では、最小のL₂ノルム損失を持ちながら、L₀ノルム歪みを大幅に削減する新しいLₚノルム歪み効率的敵対攻撃を提案します。この目的のために、まずL₂ノルム制約下で初期の敵対的摂動を最適化し、その後初期の摂動用の次元重要性マトリックスを構築する新しい最適化スキームを設計しました。この次元重要性マトリックスは、初期の摂動の各次元の敵対的な重要性を示すことができます。さらに、次元重要性マトリックスに対する敵対的閾値という新しい概念を導入します。重要性が閾値を超える初期摂動の次元はすべてゼロに設定され、L₀ノルム歪みを大幅に減少させます。三つのベンチマークデータセットでの実験結果は、同じクエリ予算の下で、我々の手法によって生成された敵対的事例は、最先端技術よりも低いL₀ノルムおよびL₂ノルム歪みを持っていることを示しています。特にMNISTデータセットでは、我々の攻撃はL₂ノルム歪みを8.1\%減少させながら、47\%のピクセルを攻撃されない状態に保っています。これは、提案された手法が敵対的頑健性および視覚的不可知性の観点で競合他社に対して優れた性能を持つことを示しています。