Deep Learning Papers ülevaade - universaalne võistluspaik

Selles artiklis arutlen algselt konkureerivate piltide loomise teemal ja siis juhin seda arutelu aeglaselt Google Braini teadlaste avaldatud huvitava paberi poole, mis käsitleb vastandpiltide pilti (https://arxiv.org/pdf/1712.09665). .pdf). Selles artiklis on esitatud üldine pildipaik, mis piltidele lisamisel põhjustaks iga närvivõrgu nende valesti klassifitseerimise. Paberi autorid on seda ise youtube'i video kaudu demonstreerinud:

Uurime kõigepealt välja, miks saab selliseid vastaseid moodustada.

Neuraalsete võrkude nõrkused

Sügavad närvivõrgud on viimasel ajal kindlasti andnud objektide tuvastamiseks “ülitäpseid” tulemusi. Sellegipoolest saab neuronvõrgu pildi valesti klassifitseerida minimaalsete häiringutega. Vaatame võimalikke põhjuseid:

  • Deepneuraalvõrgud on välja töötatud fikseeritud andmekogumil ja seetõttu võivad sisendsignaalide teisendused, näiteks transleerimine või pööramine, liigitada seda valesti. See tähendab ka, et sisendsignaalile lisatud väike müra võib põhjustada selle valesti klassifitseerimise. Näiteks võib väikese koguse müra lisamine sisendkujutisele põhjustada närvivõrgu kujutise valesti klassifitseerimise, isegi kui inimsilm ei tajuks pildi muutust. See pilt annaks teile idee:

[Hiljuti oli Geoff Hintoni tehtud Capsule Networks'i tööd, mis on kujutise teisendustele muutumatud. Kuid kapslid on haavatavad muud tüüpi võistlevate rünnakute suhtes. Ja isegi Convnetid on enam-vähem ulatuslikud ja muutused muutumatud]

  • Ka tänapäevased süvaõppel põhinevad klassifikaatorid on enamasti tükiliselt lineaarsed. Isegi kõige populaarsemad aktiveerimisfunktsioonid nagu ReLu (ja selle variandid) on osaliselt lineaarsed. Muud aktiveerimisfunktsioonid, nagu Sigmoid ja Tanh, on siin välistatud, kuna need põhjustavad selliseid probleeme nagu "kaduva gradiendi probleem". Kuigi närvivõrgud on mittelineaarsed klassifikaatorid, saavutavad nad selle niinimetatud mittelineaarsuse mitme „lineaarse” piirkonna kaudu

Need närvivõrkude nõrgad küljed andsid tulemuseks kogu välja, mille nimi on „võistleva keele sügav õppimine” (üldiselt „võistleva masina õppimine” igat tüüpi sisendsignaalide jaoks)

Võistluspiltide genereerimine

Neuruvõrgu klassifikaatori petmiseks konkureerivate piltide genereerimine ei ole uus probleem. Vastupidiste näidete genereerimiseks on minevikus olnud palju väljapakutud meetodeid. Lihtsaim viis selleks on pildi üksikute pikslite väärtuse muutmine, kuni uue klassi tõenäosus on maksimaalne. Matemaatiliselt

Lihtne matemaatiline võrrand vastandpiltide loomiseks

(Enamik uurijaid asendab tavaliselt ülaltoodud tõenäosustermini logi tõenäosusega)

Samuti on konkureerivate näidete saamiseks gradiendipõhiseid iteratiivseid meetodeid, näiteks kiire gradiendi märkmeetod (FGSM), iteratiivne gradiendi märkmeetod ja iteratiivne vähim tõenäoline klassimeetod. Need meetodid kasutavad sisendpildi suhtes väljundklassi (J) gradienti peamiselt selleks, et iteratiivselt muuta sisendpilti gradiendi põhjal. Vaatame FGSM-i matemaatilist võrrandit:

FGSM

Lühidalt - FGSM suurendab sisendsignaali itereerivalt väikese summa võrra sisendiga seotud kulude gradiendi suunas.

Lisaks ülaltoodud tehnikatele on muidugi ka populaarsed GAN-id (generatiivsed võistlusvõrgud), et genereerida võistlevaid pilte.

Ülaltoodud meetodid loovad rahuldavaid võistlevaid näiteid, kuid need pole piisavalt vastupidavad, et töötada samaväärselt muudetud piltidega. See artikkel kannab pealkirja “Foveation-based Mehhanismid Leevendada Adversarial Näited”, autorid Luo et. al, näitab, et ülaltoodud võistlevad näited ebaõnnestuvad, kui need on kärbitud huvipakkuvale objektile (vahustatud). Selle põhjuseks on asjaolu, et Convnets on kindel skaleerimise ja tõlkimise suunas. Kuid selline teisendusreegel ei kehti pildile lisatud müra või häirimise kohta, st häiringud pole piisavalt tugevad, et Convnetit eksitada isegi pärast pildi teisendamist. Pea sama kavatsust on ka teisel paberil pealkirjaga „Autonoomsete sõidukite objektide tuvastamisel pole vaja muretseda konkureerivate näidete pärast”.

Niisiis, kas on isegi võimalik toota robustset võistlevate piltide komplekti? Noh, viimasel ajal on olnud huvitavaid artikleid, kus arutatakse tugevate võistlevate näidete loomise üle. Vaatame mõnda neist:

  • Sünteetiliste konkureerivate näidete sünteesimine (tänu muutuste ootusele)
  • Võistluspaik
  • Tajumatute ja tugevate konkureerivate näidete rünnakute suunas närvivõrkude vastu

Uurime peamiselt kahte esimest ettekannet.

Ootus muutuse üle (EOT)

Esimesest tööst (s.t sünteesides tugevaid vastandlikke näiteid) saadakse piisavalt konkureerivaid näiteid, mis on piisavalt tugevad, et enamiku kujutise teisenduste korral "lollitada" närvivõrgu klassifikaatorit. Põhimõtteliselt juhtub siin see, et klassi eeldatav tõenäosus maksimeeritakse kõigi võimalike teisendusfunktsioonide (t ~ T) korral, piirates eeldatavat efektiivset kaugust muudetud originaali ja muudetud häiringupildi vahel. Proovime aru saada, mida see tähendab.

EOT-s muudetakse antud pilt esmalt võistlevaks, kasutades ühte ülalnimetatud meetoditest. Nüüd määratleme teisendusruumi „T”, mis sisaldab selliseid teisendusi nagu pöörlemine, skaleerimine, tõlkimine ja nii edasi. Seejärel arvutame välja soovitud klassimärgise logi tõenäosuse ootuse. See näeb välja selline:

Soovitud klassi eeldatav logi tõenäosus, arvestades teisendusi

Seejärel proovime maksimeerida selle eeldatava tõenäosuse tingimusel, et eeldatav efektiivne vahemaa muudetud originaali ja muudetud häiringupildi vahel on väiksem kui väärtus ε. Arvestades eeldatavat tõenäosust (või logi tõenäosust), arvestame kõiki teisendusruumis esinevaid muutusi. Ja kohustus on tagada, et loodud pildid oleksid võimalikult lähedased algsele teisendusele. Lõppvõrrand näeb välja selline:

Võistluspaik

Ülalolevast videost on selge, et me peame jahti universaalsele pildiplaastrile, mis lisab igale pildile närvivõrgu. Selleks määratletakse esmalt operaatorA (). Operaator A võtab plaastri, pildi, koordineerib pilti (plaastri asetamiseks) ja plaastrile rakendatavaid teisendusi, näiteks tõlkimist, pööramist ja skaleerimist.

Intuitsioon operaatori A taga

Optimaalse plaastri leidmiseks kasutatakse antud sildi jaoks Expectation Over Transformation, et maksimeerida valesti klassifitseerimise tõenäosust. Matemaatiliselt näeb see välja järgmine:

Algses paberis kasutati võistleva klassina rösterit ja viimane plaaster nägi välja järgmine:

Selle konkureeriva plaastri üks piirang on see, et te ei saa petta objektide tuvastusmudeleid (mudeleid, mis tunnevad pildil erinevaid objekte). Näiteks proovisin hiljuti selle plaastriga pilti Facebooki üles laadida (: P). Kuna Facebook loetleb kõik pildi ennustused selle img-sildi alt-atribuudis, saate selle ennustusi kontrollida kohe, kui pilt üles laadite. Proovisin järgmist:

Vasakul: minu facebooki postitus, paremal: Chrome Dev tööriistad

(: P)

[Ülaltoodud loendi kolmas artikkel, s.o “Tajutamatute ja tugevate konkureerivate näidete rünnakud närvivõrkude vastu” tuli välja alles umbes nädal tagasi. Selles dokumendis on nad vastandlikke näiteid luues võtnud arvesse inimese tajutavat süsteemi]

Kokkuvõte

  • Vastupidise sisu loomine: suurendame müra korduva lisamisega valesti klassifitseerimise tõenäosust. Mõned populaarsed tehnikad, näiteks FGSM, kasutavad müra lisamiseks kulu gradiendi märki
  • Nõrkus: need meetodid ei ole piisavalt vastupidavad, et närvivõrku “narritada”, kui häiritud sisendi pilt muundatakse (arxiv: 1511.06292 ja arxiv: 1707.03501)
  • Ootus ümberkujundamise üle: kõigepealt genereerime võistleva pildi, kasutades ühte ülaltoodud meetoditest. Seejärel maksimeerime klassi eeldatava logaritmilise tõenäosuse häiritud pildi antud teisenduse korral. See ootus on kõigi teisendusruumi T ümberkujundamiste kohal
  • Vastupidine plaaster: määratleb operaatori „A”, mis rakendab antud pildile plaastri. Seejärel kasutatakse uue klassi logi tõenäosuse maksimeerimiseks ootust teisenduse järele, tingimusel, et see ei kaldu liiga palju algpaika