적대적 공격의 전이성 향상을 위한 이미지 왜곡 기법

Abstract

합성곱 신경망은 컴퓨터 비전 분야에서 뛰어난 성능을 보이고 있지만 눈에 띄지 않는 잡음이 추가된 적대적 예제에 취약하다. 적대적 예제에 대한 취약성은 보안, 안전이 중요한 분야에서 심각한 문제를 일으킬 수 있다. 따라서 신경망이 상용화되기 전 취약성을 확인하여 위협에 대비하기 위해 적대적 공격에 대한 연구가 활발히 진행되고 있다. 타겟 모델의 내부 구조가 숨겨져 있는 상황에서는 공격자가 자신이 가지고 있는 소스 모델을 사용하여 적대적 예제를 생성하고, 그 이미지가 타겟 모델도 교란하기를 기대하는 전이성 기반 공격을 수행할 수 있다. 이러한 공격의 전이성을 향상시키기 위해 지금까지 제안된 입력 다변화 방법은 모든 픽셀에 같은 변환을 가하여 상대적으로 적은 전이성 향상을 보인다. 이에 본 논문은 입력 이미지의 각 픽셀을 재배치하여 전이성이 높은 적대적 예제를 생성하는 방법을 제안한다. 좀 더 상세히 말하면, 다양한 방향의 왜곡을 표현할 수 있는 탄성 변환을 사용하여 입력의 다양성을 확대하고 적대적 예제가 소스 모델에 과적합되는 것을 피한다. 우리는 이미지넷 기반 여러 분류 모델에 대한 적대적 공격 실험을 통해 탄성 변환을 사용하여 적대적 예제를 생성하는 방법이 전이성을 높이는 효과적인 방법임을 보인다.