حمله یک پیکسلی روش ساده برای فریب شبکه‌های عصبی

Question

. مقاله "One Pixel Attack for Fooling Deep Neural Networks" نوشته Su و همکارانش در سال ۲۰۱۹ نشان می‌دهد که تغییر یک پیکسل در تصویر می‌تواند باعث شود که یک شبکه عصبی پیش‌بینی اشتباهی را ارائه دهد. در این مقاله، سه مدل شبکه عصبی مختلف AllConv، NiN و VGG آزمایش شده است. نویسندگان متوجه شدند که هر سه مدل قابلیت حمله یک پیکسلی را دارند.

 

حمله یک پیکسلی با تغییر یک پیکسل در تصویر به مقدار دیگری انجام می‌شود. این تغییر معمولاً بسیار کوچک و سخت قابل مشاهده است، اما می‌تواند کافی باشد تا شبکه عصبی پیش‌بینی اشتباهی را ارائه دهد. نویسندگان مقاله متوجه شدند که حمله یک پیکسلی بیشترین تأثیر را بر روی تصاویری دارد که نزدیک مرز تصمیم‌گیری شبکه عصبی هستند.

 

حمله یک پیکسلی روش ساده اما موثری برای فریب شبکه‌های عصبی است. در صورت استفاده از شبکه‌های عصبی در برنامه‌های امنیتی بحرانی، باید از این نوع حملات آگاه باشیم.

 

دلایلی که تغییر یک پیکسل می‌تواند باعث پیش‌بینی اشتباه شبکه عصبی شود عبارتند از:

 

شبکه‌های عصبی بر روی مجموعه داده‌های بزرگی از تصاویر آموزش می‌بینند. این مجموعه داده‌ها معمولاً شامل میلیون‌ها تصویر است. با این وجود، هر تصویر تنها یک نمونه کوچک از دنیای واقعی است. این بدان معنی است که شبکه‌های عصبی نمی‌توانند روابط دقیق بین تمام پیکسل‌های تصویر را یاد بگیرند.

شبکه‌های عصبی به منظور کمینه کردن تابع هدردهی آموزش داده می‌شوند. تابع هدردهی اختلاف بین برچسب پیش‌بینی شده و برچسب واقعی را اندازه‌گیری می‌کند. شبکه‌های عصبی به طور مداوم وزن‌های خود را به منظور کمینه کردن تابع هدردهی تنظیم می‌کنند. این بدان معنی است که آن‌هاهمیتی به پیش‌بینی‌های خود نمی‌دهند و به طور مداوم تغییرات کوچکی در پیش‌بینی‌های خود ایجاد می‌کنند.

شبکه‌های عصبی حساس به نویز هستند. نویز هر گونه انحراف از تصویر اصلی است. این می‌تواند شامل تغییرات در روشنایی، کنتراست یا رنگ باشد. شبکه‌های عصبی قادر به حذف کامل نویز از تصاویر نیستند. این بدان معنی است که آن‌ها قابلیت حملاتی را که نویز را به تصاویر اضافه می‌کنند دارند.

 

حمله یک پیکسلی روش ساده اما موثری برای فریب شبکه‌های عصبی است. در صورت استفاده از شبکه‌های عصبی در برنامه‌های امنیتی بحرانی، باید از این نوع حملات آگاه باشیم.