Google的AI检测到针对图像分类器的对抗攻击

 
对抗攻击的防御(在AI中指的是通过恶意输入欺骗模型的技术)正越来越多地被“防御意识”攻击所破坏。实际上，大多数声称检测对抗性攻击的先进方法在它们发布后不久就被抵消了。为了打破这种循环，加州大学圣地亚哥分校和Google Brain的研究人员，包括图灵奖获得者Geoffrey Hinton，最近在预印本中描述了一种能够偏转计算机视觉领域攻击的方法。他们的框架要么准确地检测攻击，要么针对未检测到的攻击向攻击者施加压力，以产生类似于目标图像类别的图像。
所提出的体系结构包括(1)对来自数据集的各种输入图像进行分类的网络，以及(2)对以预测胶囊的参数为条件的输入进行重构的网络。几年前，欣顿和几个学生设计了一种称为CapsNet的体系结构，这是一种经过专门训练的多层AI系统。它和其他胶囊网络通过以几何方式解释对象的各个部分来理解图像中的对象。负责分析各种对象属性(例如位置，大小和色相)的一组数学函数(胶囊)被附加到通常用于分析视觉效果的一种AI模型上。多个胶囊的预测被重复使用以形成零件的表示形式，并且由于这些表示在整个分析中均保持不变，因此即使交换或变换零件的位置，胶囊系统也可以利用它们来识别对象。
胶囊系统的另一个独特之处是?他们注意路线。与所有深层神经网络一样，胶囊的功能排列在相互连接的层中，这些层传输来自输入数据的“信号”，并缓慢调整每个连接的突触强度(权重)。 (这就是他们提取特征并学会做出预测的方式。)但是，对于胶囊，权重是根据上一层函数预测下一层输出的能力动态计算的。
胶囊网络将三种基于重建的检测方法一起用于检测标准对抗攻击。第一个是“全局阈值检测器”，它利用了以下事实：当输入图像受到对抗时，输入的分类可能不正确，但是重建通常是模糊的。本地最佳检测器从其重建错误中识别出“干净”的图像;当输入是干净图像时，获胜胶囊的重建误差小于损失胶囊的重建误差。至于最后一种称为循环一致性检测器的技术，如果输入的类别与获胜胶囊的重建类别不同，则会将其标记为对抗性示例。
该团队报告说，在实验中，他们能够基于三种不同的距离度量标准，以对SVHN和CIFAR-10的低误报率来检测标准的对抗攻击。他们写道：“我们的模型使大部分未检测到的攻击偏向了对抗目标类别，并且不再是对抗目标。” “这些攻击图像不能再称为“对抗性”图像，因为我们的网络对人类图像的分类方式与人类相同。”