敵対攻撃に対する画像検索の強化
新しい方法がラベル付きデータなしでディープハッシングシステムへの攻撃を特定する。
― 1 分で読む
ディープラーニングは、特定のクエリに基づいて画像を見つける手助けをする画像検索システムなど、多くの分野で大きな進展をもたらした。でも、これらのシステムは完璧じゃなくて、正常な動作を妨げる攻撃に弱いんだ。画像検索を改善する人気のある方法の一つが深層ハッシングで、これは画像をコンパクトなコードで表現して、より早く効率的に検索できるようにする技術。残念ながら、深層ハッシングもディープラーニングからの弱点を引き継いじゃう。攻撃者は画像に少しだけ変更を加えることでシステムを誤解させて、間違った検索結果を引き起こすことができるんだ。
画像検索の課題
画像検索システムは、検索エンジンやSNSなど多くのアプリケーションにとって重要で、ユーザーが関連する画像をすぐに見つけられるようにしている。でも、これらのシステムは敵対的攻撃の影響を受けてるんだ。敵対的攻撃は、誰かが画像を操作してシステムの出力を変えちゃうことを指す。例えば、攻撃者は「ハスキー犬」の画像を改変して「ドッグフード」に関連する結果を引き出せるんだ。
バイナリーコードを使って画像を表現する深層ハッシングシステムは、特にこれらの攻撃の影響を受ける。彼らはバイナリーコード間の類似性を測るハミング距離を比較して、関連する画像を取得してる。でも、攻撃者はハミング距離を増やしてシステムを誤解させることができる。
現在の防御メカニズム
今まで、いろいろな防御戦略が提案されてるけど、画像検索ではなくソフトマックス分類方法に焦点を当てがちなんだ。一般的な手法には、敵対的トレーニングがあって、モデルが攻撃を認識して抵抗する方法を学ぶやつや、画像が変更されたかどうかを特定しようとする検出方法がある。でも、従来の防御策は深層ハッシングにはあまり効果的じゃないかも。
深層ハッシングシステムでは、敵対的トレーニングがモデルの精度を保ちつつ攻撃に対して頑丈にするためのトレードオフを生じることがある。敵対的事例に対抗するように深層ハッシングモデルがトレーニングされると、非攻撃された画像に対して精度が落ちちゃうことが多いんだ。だから、深層ハッシングシステムで攻撃を特定して防ぐためのより良い方法が急務なんだ。
我々のアプローチ
この研究では、ラベルデータなしで深層ハッシングシステムへの攻撃を特定する新しい方法を提案するよ。ハミング空間内の画像のユニークな挙動を分析することで、ターゲット外およびターゲット攻撃の両方を検出できるんだ。我々のアプローチは、敵対的行動を特定するための3つの主要な基準に焦点を当ててる。
基準1: ハミング距離
最初の基準はハミング距離に基づいてる。敵対的な画像が健全な画像からハミング距離でどのくらい離れているかを測定することで、何か怪しいことを検出できるんだ。クエリ画像と関連する上位コードを集めて、そのコードへの平均距離を計算する。もしその平均距離があるしきい値を超えたら、その画像は潜在的に敵対的とみなせるよ。
基準2: 定量化損失
2つ目の基準は定量化損失を測定すること。画像がバイナリーコードとして表現されるとき、実際の連続出力と最終的なバイナリー表現の間に少し違いが生じることが多い。健全な画像と比べて、改変された画像の方がこの違いが小さくなることが多いんだ。連続出力とバイナリーコードの間の距離を計算することで、その画像が改変されているかどうかを判断できる。非常に低い定量化損失は、敵対的攻撃の可能性を示すよ。
基準3: 予測の不一致性
3つ目の基準は予測の不一致性を見るんだ。この方法では、入力画像をノイズリダクションやスムージング技術で変換して、その前後で出力がどれほど一貫しているかを確認する。敵対的な画像は、これらの変換を受けたときに健全な画像と比べて異なる結果を出すことが多いから、大きな不一致があれば、その画像は敵対的である可能性が高いよ。
まとめてみると
画像が健全か敵対的かを判断するために、我々のシステムは3つの基準を組み合わせる。特定のクエリ画像に対して、各基準からの結果を評価する。もしどれかの基準がその画像が改変されたことを示したら、敵対的と分類する。それ以外の場合は健全とみなす。この組み合わせにより、我々のシステムは計算コストを抑えつつ、敵対的な例を効果的に検出できるんだ。
検出システムの評価
我々は、CIFAR-10やImageNet、MS-COCO、NUSWIDEなどの複数のデータセットでこの検出方法をテストした。結果は期待できるもので、我々のアプローチが検出率において既存の方法を上回っていることが示された。つまり、我々の方法は効率を保ちながら、より多くの敵対的例を特定できるということだ。
既存の方法との比較
我々の方法を、最初はソフトマックス分類用に設計された複数のベンチマークアプローチと比較した。評価では、真陽性率(TPR)と偽陰性率(FNR)を測定して、方法がどれだけうまく機能したかを理解した。我々の結果は、我々の検出メカニズムが既存の技術に比べて、ターゲット攻撃に対する見逃し率が低いことを一貫して示した。
ホワイトボックス攻撃への対処
攻撃はグレイボックス攻撃とホワイトボックス攻撃に分類できる。グレイボックス攻撃者はシステムについて少しだけ知識を持っているけど、特定の防御策には気づいていない。一方で、ホワイトボックス攻撃者はモデルとその防御を完全に理解していて、それを回避する攻撃を設計できるんだ。
我々はホワイトボックス攻撃に対して我々の方法を検証した。システムはこれらの攻撃に対して効果的に耐えることができて、攻撃者の選択肢を制限して成功を難しくすることができた。ホワイトボックス攻撃者が我々の検出基準の出力を操作しようとしたとき、彼らは大きな課題に直面したことが、我々の方法の堅牢性を示しているよ。
計算効率
敵対的攻撃の検出において、計算コストが大きな懸念事項なんだ。我々のシステムは、複数のクエリを同時に処理できるように設計して、効率を改善した。クエリをまとめることで、処理リソースをより良く活用できて、各画像を評価するのに必要な時間を大幅に短縮できたんだ。
評価の結果、我々の方法は1画像あたり50ミリ秒未満で処理できて、リアルタイムアプリケーションに十分なスピードを提供することができた。検出のオーバーヘッドは最小限に抑えられていて、特に小さなバッチを扱うときにそれが顕著だよ。
結論
要するに、深層ハッシングシステムに対する敵対的攻撃の課題には、効果的な検出手段が必要だ。我々の教師なしアプローチは、敵対的行動を特定するための3つの重要な基準を定義することで実用的な解決策を提供する。広範な評価は、我々の方法が低い計算コストで高い検出率を達成することを示していて、リアルタイム画像検索システムにも適している。これにより、深層ハッシングのセキュリティ向上に貢献し、誤った画像検索を引き起こすような操作から保護する手助けになるんだ。
タイトル: Unsupervised Multi-Criteria Adversarial Detection in Deep Image Retrieval
概要: The vulnerability in the algorithm supply chain of deep learning has imposed new challenges to image retrieval systems in the downstream. Among a variety of techniques, deep hashing is gaining popularity. As it inherits the algorithmic backend from deep learning, a handful of attacks are recently proposed to disrupt normal image retrieval. Unfortunately, the defense strategies in softmax classification are not readily available to be applied in the image retrieval domain. In this paper, we propose an efficient and unsupervised scheme to identify unique adversarial behaviors in the hamming space. In particular, we design three criteria from the perspectives of hamming distance, quantization loss and denoising to defend against both untargeted and targeted attacks, which collectively limit the adversarial space. The extensive experiments on four datasets demonstrate 2-23% improvements of detection rates with minimum computational overhead for real-time image queries.
著者: Yanru Xiao, Cong Wang, Xing Gao
最終更新: 2023-04-09 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2304.04228
ソースPDF: https://arxiv.org/pdf/2304.04228
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。