人間の脳の視覚処理を模倣し、ニューラルネットワークが敵対的なサンプルに対処できるようにする

ディープラーニングは、小切手や封筒に手書きされた文字しか認識できなかった時代から、長い道のりを歩んできました。今日、ディープ ニューラル ネットワークは、写真やビデオの編集から医療ソフトウェアや自動運転車まで、多くのコンピューター ビジョン アプリケーションの重要なコンポーネントになっています。

脳の構造をほぼ模倣したニューラルネットワークは、人間と同じように世界を見ることに近づいてきました。しかし、ロボットにはまだ道のりは長く、人間が決して間違いを犯さないような状況でもロボットは間違いを犯します。

こうした状況は、敵対的サンプルと呼ばれることが多く、AI モデルの動作を混乱させる形で変化させます。 敵対的機械学習は、現在の AI システムにとって最大の課題の 1 つです。機械学習モデルが予期せぬ形で失敗したり、サイバー攻撃に対して脆弱になったりする可能性があります。

敵対的サンプルの例: このパンダの写真に知覚できないレベルのノイズ層を追加すると、畳み込みニューラル ネットワークがそれをテナガザルだと勘違いする可能性があります。

敵対的攻撃に耐性のある AI システムの作成は、活発な研究分野となり、AI カンファレンスのホットな話題となっています。コンピューター ビジョンにおいて、敵対的攻撃からディープラーニング システムを保護するための興味深いアプローチは、神経科学の知見を適用して、ニューラル ネットワークと哺乳類の視覚システムの間のギャップを埋めることです。

このアプローチを使用して、MIT と MIT-IBM Watson AI ラボの研究者は、哺乳類の視覚皮質の特徴をディープ ニューラル ネットワークに直接マッピングすると、より予測可能な動作をし、敵対的サンプルに対してより耐性のある AI システムを作成できることを発見しました。 bioRxiv プレプリント サーバーで公開された論文で、研究者らは、現在のディープラーニング技術と神経科学にヒントを得たニューラル ネットワークを組み合わせたアーキテクチャである VOneNet を紹介しています。

https://www.biorxiv.org/content/10.1101/2020.06.16.154542v1

この研究はミュンヘン大学、ルートヴィヒ・マクシミリアン大学ミュンヘン、アウクスブルク大学の科学者の協力を得て行われ、昨年開催されたNeurIPS 2020会議で採択されました。

今日のコンピューター ビジョンの主なアーキテクチャは、畳み込みニューラル ネットワーク (CNN) です。畳み込み層を積み重ねると、画像内の階層的な特徴を学習して抽出することができます。下位層は角や端などの一般的なパターンを見つけますが、上位層では物体や人などのより具体的なものを見つける能力が次第に向上します。

ニューラル ネットワークの各層は、入力画像から特定の特徴を抽出します。

従来の完全接続ネットワークと比較して、畳み込みニューラル ネットワークはより堅牢で計算効率が高いことが示されています。しかし、CNN と人間の視覚システムが情報を処理する方法には、依然として根本的な違いがあります。

「ディープニューラルネットワーク、特に畳み込みニューラルネットワークは、視覚皮質の驚くほど優れたモデルとなっており、脳から収集された実験データに、神経科学データを解釈するために特別に設計された計算モデルよりもよく適合することが多い」とIBM-MITワトソンAIラボのディレクター、デビッド・コックス氏はTechTalksに語った。 「しかし、すべてのディープニューラルネットワークが脳データに適合するわけではなく、脳とDNNの間には依然としていくつかの違いが存在します。」

最も顕著なギャップの 1 つは、敵対的サンプルに関するものです。敵対的サンプルでは、​​小さなパッチや知覚できないノイズの層などの小さな変動によって、ニューラル ネットワークが入力を誤分類する可能性があります。これらの変化は通常は気づかれません。

敵対的攻撃停止標識

人工知能の研究者たちは、一時停止の標識に小さな白黒のステッカーを貼ることで、コンピュータービジョンのアルゴリズムに標識を見えなくできることを発見した。

「DNN を騙せる画像が、人間の視覚システムを騙すことは決してできないだろうと断言できます」とコックス氏は言う。 「また、DNN は画像の自然な劣化 (ノイズの追加など) に対して非常に脆弱であるため、DNN の堅牢性は一般に未解決の問題であると思われます。この点を念頭に置いて、脳と DNA の違いを調べるのに良い場所だと考えました。」

[[375728]]

IBM mit-IBM Watson AI Lab ディレクター、David Cox 氏

新しい研究では、コックス氏とディカルロ氏は、主執筆者のジョエル・ダペロ氏とティアゴ・マルケス氏とともに、ニューラルネットワークを脳の活動をモデルにした場合、敵対的な攻撃に対してより堅牢になるかどうかを調査した。 AI研究者は、AlexNet、VGG、ResNetのさまざまなバリエーションなど、ImageNetデータセットでトレーニングされたいくつかの一般的なCNNアーキテクチャをテストしました。彼らはまた、誤分類を避けるために敵対的な例を使用してニューラルネットワークをトレーニングするプロセスである「敵対的トレーニング」を受けたいくつかのディープラーニングモデルもテストしました。

この論文では、ディープニューラルネットワークの活性化と脳の神経反応を比較するBrainScoreメトリックを使用してAIモデルを評価しました。次に、各モデルの堅牢性は、ホワイトボックスの敵対的攻撃（攻撃者がターゲットニューラルネットワークの構造とパラメータを完全に把握している場合）に対する堅牢性をテストすることによって測定されます。

「驚いたことに、ニューラルネットワークが脳に似ているほど、敵対的な攻撃に対するシステムの耐性が高まりました」とコックス氏は語った。 「これにヒントを得て、ネットワークの入力段階に、初期視覚皮質に似た処理層を追加することで、堅牢性（敵対的堅牢性を含む）を向上できるのではないかと考えました。」

ニューラル ネットワークの敵対的攻撃に対する堅牢性。研究では、脳スコアが高いニューラル ネットワークは、ホワイト ボックスの敵対的攻撃に対してより堅牢であることが示されています。

研究者らは、研究結果をさらに検証するために、標準的なニューラル ネットワークと神経科学にヒントを得たニューラル ネットワークのレイヤーを組み合わせたハイブリッド ディープラーニング アーキテクチャである VOneNet を開発しました。

CNN の最初の数層は、霊長類の一次視覚皮質 (V1 領域とも呼ばれる) をモデルにしたニューラル ネットワーク アーキテクチャである VOneBlock に置き換えられました。つまり、画像データはまず VOneBlock によって処理され、その後ネットワークの残りの部分に渡されます。

VOneBlock 自体は、ガボール フィルタ バンク (GFB)、単純セル、複雑セルの非線形処理層、およびランダム ニューロンで構成されています。 GFB は他のニューラル ネットワークの畳み込み層に似ています。しかし、従来のニューラル ネットワークはランダムなパラメーター値から開始し、トレーニング中に調整しますが、GFB パラメーター値は一次視覚皮質の活性化に関する知識に基づいて決定され、固定されます。

VOneBlock アーキテクチャ、VOneBlock は一次視覚野の機能を模倣したニューラル ネットワーク構造です。

「VOneBlock のネットワーク重みとアーキテクチャは、完全に生物学的情報に基づいて設計されています。つまり、VOneBlock のすべての選択は神経生理学によって制約されます。言い換えれば、VOneBlock は霊長類の一次視覚皮質 (領域 V1) を可能な限り模倣するように設計されました。過去 40 年間にわたる複数の研究から収集された利用可能なデータを考慮して、VOneBlock パラメータを決定しました。

さまざまな霊長類の視覚皮質には大きな違いがありますが、特に V1 領域には多くの共通点もあります。 「幸いにも、霊長類間の違いは小さいようで、実際、サルは人間と同様の物体認識能力を持っていることを示す研究が多数あります。私たちのモデルでは、サルの V1 のニューロンの反応を記述した公開済みのデータを使用しました。私たちのモデルはまだ霊長類の V1 の近似値にすぎませんが (既知のデータがすべて含まれているわけではなく、これらのデータにも一定の制限があり、V1 での処理についてまだわからないことがたくさんあります)、良い近似値です」と、同博士は述べています。

VOneNetのパフォーマンス比較

VOneBlock の利点の 1 つは、現在の CNN アーキテクチャとの互換性です。 「VOneBlock はプラグアンドプレイで使用できるように設計されています」とマルケス氏は語った。 「これは、標準の CNN 構造の入力層を直接置き換えることを意味します。VOneBlock コアに続く変換層により、その出力が CNN アーキテクチャの残りの部分と互換性があることが保証されます。」

研究者らは、ImageNet データセットで良好なパフォーマンスを示したいくつかの CNN アーキテクチャに VOneBlock を挿入しました。興味深いことに、この単純なブロックを追加すると、ホワイトボックスの敵対的攻撃に対する堅牢性が大幅に向上し、トレーニングベースの防御よりも優れたパフォーマンスを発揮します。

「標準的なCNNアーキテクチャの前に霊長類の一次視覚野における画像処理を模倣することで、画像変動に対する堅牢性が大幅に向上し、最先端の防御方法を上回ることも可能になる」と研究者らは論文に記している。

実験では、VOneBlock を含む修正された畳み込みニューラル ネットワークは、ホワイト ボックスの敵対的攻撃に対してより優れた耐性があることが示されています。

「ここで追加した V1 モデルは実は非常にシンプルです。ネットワークの残りの部分は変更せずにシステムの最初の段階だけを変更したので、この V1 モデルの生物学的忠実度は非常にシンプルなままです」と Cox 氏は言います。同氏は、モデルにさらに詳細とニュアンスを加えれば、脳についての私たちの知識とより一致するようになるだろうと付け加えた。

この論文は、過去数年間の AI 研究で非常に一般的になってきた傾向に異議を唱えています。多くの AI 科学者は、脳のメカニズムに関する最新の研究成果を研究に応用するのではなく、膨大なコンピューティング リソースとデータ セットを使用して、より大規模なニューラル ネットワークをトレーニングし、この分野を前進させることに重点を置いています。このアプローチは AI 研究に多くの課題をもたらします。

VOneNet は、生物学的知能には、人工知能研究が直面しているいくつかの根本的な問題を解決する未開発の潜在能力がまだたくさんあることを示しています。 「ここで紹介したモデルは霊長類の神経生物学から直接派生したものであり、実際にはより人間に近い行動を達成するためにより少ない訓練しか必要としない。これは神経科学と人工知能が互いに補完し強化し合う新たな好循環の転換点である」と著者らは記している。

今後、研究者らは VOneNet の特性と神経科学および人工知能の知見のさらなる統合をさらに探求していく予定です。 「私たちの現在の研究の限界の1つは、V1ブロックを追加すると改善につながることを示したものの、なぜそうなるのかについて十分な説明ができていないことです」とコックス氏は述べた。

この「なぜ」という疑問を理解するのに役立つ理論を開発することで、AI 研究者は最終的に本当に重要なことの真相を突き止め、より効果的なシステムを構築できるようになります。彼らはまた、人工ニューラルネットワークの初期層を超えて、神経科学にヒントを得たアーキテクチャの統合を探求する予定です。

翻訳元: https://venturebeat.com/2021/01/08/is-neuroscience-the-key-to-protecting-ai-from-adversarial-attacks/