. مقاله "One Pixel Attack for Fooling Deep Neural Networks" نوشته Su و همکارانش در سال ۲۰۱۹ نشان میدهد که تغییر یک پیکسل در تصویر میتواند باعث شود که یک شبکه عصبی پیشبینی اشتباهی را ارائه دهد. در این مقاله، سه مدل شبکه عصبی مختلف AllConv، NiN و VGG آزمایش شده است. نویسندگان متوجه شدند که هر سه مدل قابلیت حمله یک پیکسلی را دارند.
حمله یک پیکسلی با تغییر یک پیکسل در تصویر به مقدار دیگری انجام میشود. این تغییر معمولاً بسیار کوچک و سخت قابل مشاهده است، اما میتواند کافی باشد تا شبکه عصبی پیشبینی اشتباهی را ارائه دهد. نویسندگان مقاله متوجه شدند که حمله یک پیکسلی بیشترین تأثیر را بر روی تصاویری دارد که نزدیک مرز تصمیمگیری شبکه عصبی هستند.
حمله یک پیکسلی روش ساده اما موثری برای فریب شبکههای عصبی است. در صورت استفاده از شبکههای عصبی در برنامههای امنیتی بحرانی، باید از این نوع حملات آگاه باشیم.
دلایلی که تغییر یک پیکسل میتواند باعث پیشبینی اشتباه شبکه عصبی شود عبارتند از:
شبکههای عصبی بر روی مجموعه دادههای بزرگی از تصاویر آموزش میبینند. این مجموعه دادهها معمولاً شامل میلیونها تصویر است. با این وجود، هر تصویر تنها یک نمونه کوچک از دنیای واقعی است. این بدان معنی است که شبکههای عصبی نمیتوانند روابط دقیق بین تمام پیکسلهای تصویر را یاد بگیرند.
شبکههای عصبی به منظور کمینه کردن تابع هدردهی آموزش داده میشوند. تابع هدردهی اختلاف بین برچسب پیشبینی شده و برچسب واقعی را اندازهگیری میکند. شبکههای عصبی به طور مداوم وزنهای خود را به منظور کمینه کردن تابع هدردهی تنظیم میکنند. این بدان معنی است که آنهاهمیتی به پیشبینیهای خود نمیدهند و به طور مداوم تغییرات کوچکی در پیشبینیهای خود ایجاد میکنند.
شبکههای عصبی حساس به نویز هستند. نویز هر گونه انحراف از تصویر اصلی است. این میتواند شامل تغییرات در روشنایی، کنتراست یا رنگ باشد. شبکههای عصبی قادر به حذف کامل نویز از تصاویر نیستند. این بدان معنی است که آنها قابلیت حملاتی را که نویز را به تصاویر اضافه میکنند دارند.
حمله یک پیکسلی روش ساده اما موثری برای فریب شبکههای عصبی است. در صورت استفاده از شبکههای عصبی در برنامههای امنیتی بحرانی، باید از این نوع حملات آگاه باشیم.