Neural Network Robustness Against Semantic Adversarial Attacks

Abstract

I de siste årene har dyp læring hatt en eksplosiv vekst i popularitet, både i akademiske og industrielle applikasjoner. Introduksjonen av konvolusjonære nevrale nettverk har tatt bildegjenkjenningsoppgaver til et nytt nivå når det gjelder både nøyaktighet og allsidighet, og har blitt en integrert del av mangfoldige datasystemer i dag.

Nylig har det imidlertid blitt avslørt at disse nettverkene, selv om de er svært nøyaktige, ikke er så robuste som vi en gang trodde. Faktisk kan en nærmest usynlig endring i et bilde resultere i feilklassifisering med høy sikkerhet. Dette er kjent som et adversarialt angrep. Det finnes mange forskjellige typer adversariale angrep, men en spesifikk undergruppe av disse skiller seg ut fra resten, nemlig semantiske adversariale angrep. Et vanlig trekk ved disse typer angrep er store, ubegrensede endringer som gjør det vanskeligere for et nevralt nettverk å forsvare seg mot dem. Dette er fordi mange forsvarsmetoder er avhengige av en øvre grense på endringen av bildet, og semantiske angrep overgår disse grensene.

I denne oppgaven viser vi at adverarial trening, en populær forsvarsmetode mot adversariale angrep, kan brukes til å forsvare mot flere forskjellige semantiske adverariale angrep samtidig. Vi trener tre forskjellige robuste modeller mot individuelle angrep og en enkelt modell mot alle tre samtidig. Resultatene våre viser at modellen trent mot alle de tre angrepene oppnår like bra robusthet mot hvert enkelt angrep som modellene trent spesifikt mot hver av de. Dessuten viser resultatene at denne treningen heller ikke påvirker nøyaktigheten av vanlige bilder i noen av de robuste modellene.

I tillegg presenterer vi en toolbox som er spesielt utviklet for å generere og forsvare mot semantiske adversariale angrep. Denne toolboxen er designet for PyTorch og tillater brukere med få forkunnskaper om adversariale angrep å forbedre robustheten i nevrale nettverk overfor dem.

Til slutt presenterer vi en litteraturstudie om semantiske adversariale angrep, noe som aldri har blitt gjennomført tidligere. Denne studien vil hjelpe til med å oppnå en dypere forståelse av denne typen angrep, og forhåpentligvis føre til mer forskning om emnet.

For the past few years, deep learning has seen an explosive growth in popularity both in academic literature and industrial settings. The invention of the Convolutional Neural Network has taken image recognition tasks to the next level in terms of accuracy and versatility and become an integral part of many computer systems in the present day.

Recently however, it has been revealed that these networks, while accurate, are not as robust as once thought. In fact, an unnoticeably small, worst-case perturbation can be applied to most images, resulting in high-confidence misclassification. This is known as an adversarial attack. There are many different kinds of adversarial attacks, but one subgroup in particular stands out from the rest, namely semantic adversarial attacks. A defining characteristic of these types of attacks is large, unrestricted perturbations that makes defending against them more difficult. This is because a lot of defenses rely on an upper bound on the perturbation, and semantic attacks cause perturbations larger than this.

In this thesis, we show that adversarial training, a popular adversarial defence method, can be used to defend against multiple different unrestricted adversarial attacks simultaneously. We train three different robust models against individual attacks and one model against all three of them at once. The results show that the model trained against all three attacks perform equally well against each individual attack as their single-attack trained counterparts. Moreover, the adversarial training does not impact the standard accuracy of any of the robust models.

Additionally, we develop an adversarial toolbox specifically designed to generate and defend against semantic adversarial attacks. This toolbox is built using PyTorch and allows users with little prior knowledge of adversarial attacks to improve model robustness towards them.

Finally, we provide a literature review on the topic of semantic adversarial attacks, which has never been conducted previously. This review will assist people in attaining a deeper understanding of these types of attacks, hopefully leading to more research on the topic.