카메라 시점 변환을 이용한 전이 기반 적대적 공격 기법

Abstract

적대적 공격이란, 사람의 눈으로 인식할 수 없을 정도의 미세한 잡음을 이미지에 의도적으로 추가하여 합성곱 신경망 모델의 잘못된 예측을 유도하는 기법이다. 공격하고자 하는 타겟 모델에 접근할 수 없는 경우 적대적 이미지의 전이성을 이용하여 공격해야 한다. 전이성이란 한 모델을 공격하는 데 성공한 적대적 이미지가 다른 모델에서도 적대적으로 작용하는 특성을 뜻한다. 공격자는 자신이 가지고 있는 소스 모델을 이용하여 적대적 이미지를 만들고, 그 이미지가 타겟 모델의 잘못된 예측을 유발하기를 기대한다. 본 논문에서는 적대적 이미지의 전이성 향상을 위한 기법으로 카메라 시점 변환(Camera Viewpoint Transformation)을 제안한다. 이는 적대적인 이미지는 어떠한 시점에서 보더라도 적대적으로 작용해야 한다는 가정에서 착안한다. 카메라 시점 변환이 일어난 이미지들을 공격에 사용함으로써 소스 모델로의 과적합을 피하고 전이성을 높이는 적대적인 이미지를 생성한다. 그 결과, 카메라 시점 변환 기법은 기존 방법과 비교해 평균적으로 5.4p% 성능이 향상되어 우수한 공격 성능을 보였다. 마지막으로, 이 성능 향상의 이유를 이미지 변환의 횟수와 무작위성 측면에서 분석했다.