研究課題
本課題では,機械学習モデルに対し誤分類を誘発するAdversarial Examples (AE)を生成する手法を提案する.AEの生成はモデルの内部情報を用いることができないBlack-box環境下で行うものとし,攻撃方法として進化計算手法であるDifferential Evolution(DE)によるOne pixel attackを用いている.本来,One pixel attackは画像の1ピクセルのみを変更することによって機械学習モデルの予測を誤らせる手法である.ただし,高解像度画像に対しては1つのピクセルを変更しても,その影響が画像全体に及ぶことは少ない.つまり,モデルが画像に加えた摂動による影響を検出しにくいためOne pixel attackの効果は低下する.そのため2023年度は,高解像度画像を対象としたOne pixel attackに着目した.高解像度画像に対しては複数ピクセルの摂動が必要となるが,これにより探索空間が増大し,攻撃の難易度が高まる.よって,より洗練された探索アルゴリズムの開発が求められる.この課題に対し,DEの改良手法であるRank-based DE (RDE)とmulti-vector mutationを組み合わせることにより探索性能の向上を図った.開発した手法では,適応度によるランクを利用して個体ごとに異なる突然変異率と交叉率を割り当てる.また,multi-vector mutationにおける変異ベクトル数の設定にもランクの情報を利用する.実験では,ImageNetの画像データセットを学習したVGG16モデルを対象とし,高解像度の画像に対する数ピクセル攻撃を行った.実験結果より,大規模な探索空間に対しても開発手法は標準的なDEよりも高速にAEを発見できることを示した.
すべて 2024
すべて 雑誌論文 (1件) (うち査読あり 1件)
ICIC Express Letters, Part B: Applications
巻: 18 ページ: 375-383
10.24507/icicel.18.04.375
