Feature Squeezing: Erkennung adversarialer Beispiele in tiefen neuronalen Netzen

Obwohl tiefe neuronale Netze (DNNs) in vielen Aufgaben große Erfolge erzielt haben, können sie häufig durch adversariale Beispiele getäuscht werden, die durch Hinzufügen kleiner, aber gezielter Verzerrungen zu natürlichen Beispielen erzeugt werden. Frühere Studien zur Abwehr adversarialer Beispiele konzentrierten sich meist darauf, die DNN-Modelle zu verfeinern, zeigten aber entweder nur begrenzten Erfolg oder erforderten teure Berechnungen. Wir schlagen eine neue Strategie vor, das Feature Squeezing, die verwendet werden kann, um DNN-Modelle durch die Erkennung adversarialer Beispiele zu härten. Feature Squeezing reduziert den Suchraum, der einem Angreifer zur Verfügung steht, indem es Proben, die vielen verschiedenen Merkmalsvektoren im Originalraum entsprechen, zu einer einzigen Probe zusammenfasst. Durch den Vergleich der Vorhersage eines DNN-Modells am Originalinput mit jener an den zusammengedrückten Eingaben erkennt Feature Squeezing adversariale Beispiele mit hoher Genauigkeit und wenigen Fehlalarmen.