Semantic Adversarial Examples === 2018/03/16 Hossein Hosseini, Radha Poovendran (Network Security Lab, University of Washington) https://arxiv.org/abs/1804.00499 （まとめ：[@antimon2](https://github.com/antimon2)） --- ## どんなもの？ + **意味論的敵対的事例** の紹介 + 自然な見え方だが、既存の画像分類器を簡単に騙すことの出来る敵対的事例 + CIFAR10+VGG16で精度（正解率）が10%未満 ----  --- ## 技術や手法の肝は？ + 形状バイアス：人の認知システムは色よりも形（物体の構造）を重視する + カラーシフト画像：元画像の色相および彩度をシフトして得られる画像 + HSV の H と S（色成分）のみ変化（←→ V は物体の構造なので値を保持） + 生成された画像は自然に見える（少なくとも元の画像と同じ物体が認識できる） + のでこれを意味論的敵対的事例として利用 --- ## どうやって有効だと検証した？ + VGG16 の最先端のモデルに適用（教師は元の CIFAR-10）して、正解率8.4%。 + カラーシフト画像も（ランダムに生成して）教師として加えて学習させたら、正解率69.1%まで向上 + 他の意味論的敵対的事例には脆弱かもしれない --- ## 先行研究と比べて何がすごい？ (1) + 過去の多くの研究は、モデル予測誤差を最大にする最小の摂動を見付けることによって敵対的事例を生成している + →大きなピクセル単位の摂動による敵対的事例（ただし Semantics は保持） ---- ## 先行研究と比べて何がすごい？ (2) + 一部の過去の研究は、固定的な変換であり、必ずしも誤分類させられなかったり見た目が大きく変わる + →意味論的敵対的事例を生成するためにパラメータ探索できる + ある研究では、精度（正解率）が20％程度低下 + →この研究では90％以上低下 --- ## 議論はある？ + Discussion 節はないが気になったこと： + 物体だけでなく背景の色も変化。これ本当に自然？ + VGG16 / CIFAR-10 でしか確認していない。 他のモデルやデータセットで検証すべき --- ## 次に読むべき論文は？ + [Cognitive Psychology for Deep Neural Networks: A Shape Bias Case Study](https://arxiv.org/abs/1706.08606) + 形状バイアスを初め「DNNがどのように推論しているか」に関する研究