ホワイトボックス攻撃シナリオにおけるDenoising Autoencoderを用いたAdversarial Examples対策の評価

抄録

畳み込みニューラルネットワーク(CNN)は様々な画像認識システムに応用されている．一方で，CNNの入力に僅かな摂動を加えることで作為的に誤認識を誘発するAdversarial Examples(Adv.ex)がセキュリティ上の重要な課題となっている．このような攻撃への対策として，Denoising Autoencoder(DAE)を用いて摂動を除去する研究が行われている．しかしホワイトボックス攻撃シナリオにおいては，DAEとCNNを一つのネットワークとして扱うことでAdv.exが生成されることが知られている．本稿では，CNNに対して生成したAdv.exの摂動を除去するように学習したDAE(AdvDAE)と，ガウシアンノイズを除去するよう学習したDAE(GaussDAE)の2種類のDAEについてMNISTデータセットによる評価を行う．従来の研究で示されているように,CNNに対して生成されたAdv.exの摂動除去についてはAdvDAEの方が優れている．一方，DAEとCNNを一つのネットワークとして生成されるAdv.exでは，GaussDAEの方が大きな摂動を必要とすることが分かった．