#233
summarized by : Tong Zheng
Frequency Domain Model Augmentation for Adversarial Attack

どんな論文か?

Adversarial Attack。分類モデルなどの機械学習モデルは脆弱で、入力画像のほんの少しの変更(ノイズを加えるとか)でも分類精度が大幅下がる。こういう「入力に変更を加えてわざと精度を低下させる」行為がAdversarial Attackと呼ばれる。
placeholder

新規性

従来手法は画像のspatial domainに変更を加える。けれどDNNモデルはfrequency domainに敏感でspatial domainでの変更は良くない。なのでdiscrete cosine transform (DCT)を使って画像をfrequency domainに変更したらfrequency mapを弄ってAdversarial Attackを行う。

結果

Attacking nine stateof-the-art defense models の平均成功率は95.4%。Adversarial Attackが施された画像は見た目で変わらないが、分類結果が全然違う。

その他(なぜ通ったか?等)

Fourier変換でしたら通らないかもしれないが、DCTはあんまり見かけないから通った? https://github.com/yuyang-long/SSA