WO2023249184A1 - Adversarial training system and adversarial training method - Google Patents

Adversarial training system and adversarial training method Download PDF

Info

Publication number
WO2023249184A1
WO2023249184A1 PCT/KR2022/020413 KR2022020413W WO2023249184A1 WO 2023249184 A1 WO2023249184 A1 WO 2023249184A1 KR 2022020413 W KR2022020413 W KR 2022020413W WO 2023249184 A1 WO2023249184 A1 WO 2023249184A1
Authority
WO
WIPO (PCT)
Prior art keywords
learning
adversarial
image
loss function
original image
Prior art date
Application number
PCT/KR2022/020413
Other languages
French (fr)
Korean (ko)
Inventor
최대선
류권상
Original Assignee
숭실대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교 산학협력단 filed Critical 숭실대학교 산학협력단
Publication of WO2023249184A1 publication Critical patent/WO2023249184A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/77Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
    • G06V10/774Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/094Adversarial learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/40Extraction of image or video features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/96Management of image or video recognition tasks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/50Context or environment of the image
    • G06V20/56Context or environment of the image exterior to a vehicle by using sensors mounted on the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/70Labelling scene content, e.g. deriving syntactic or semantic representations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/172Classification, e.g. identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Databases & Information Systems (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Human Computer Interaction (AREA)
  • Image Analysis (AREA)

Abstract

An adversarial training system according to one aspect of the disclosed invention may comprise: an image reception unit configured to receive an original image for training and an adversarial transformed image for training generated by adding noise to the original image for training; an image feature extraction unit configured to extract an original image feature from the original image for training and to extract an adversarial transformed image feature from the adversarial transformed image for training by using a deep learning model; and a machine training unit configured to train the deep learning model on the basis of the original image feature and the adversarial transformed image feature.

Description

적대적 학습 시스템 및 적대적 학습 방법Adversarial learning systems and adversarial learning methods
본 발명은 원본 이미지 및 적대적 변형 이미지에 대해서 높은 분류 정확도를 가지는 딥러닝 모델을 학습할 수 있는 학습 시스템 및 학습 방법에 관한 것이다.The present invention relates to a learning system and learning method that can learn a deep learning model with high classification accuracy for original images and adversarial modified images.
본 발명은 과학기술정보통신부의 정보보호핵심원천기술개발(과제고유번호: 1711134508, 과제번호: 2021-0-00511-001, 연구과제명: 엣지 AI 보안을 위한 Robust AI 및 분산 공격탐지기술 개발, 과제관리기관: 정보통신기획평가원, 과제수행기관: 숭실대학교 산학협력단, 연구기간: 2021.04.01~2026.12.31) 및 기초연구실지원사업(과제고유번호: 1711137712, 과제번호: 2021R1A4A1029650, 연구과제명: 자율주행 자동차 보안 기초연구실, 과제관리기관: 한국연구재단, 과제수행기관: 숭실대학교 산학협력단, 연구기간: 2021.06.01~2024.02.29)의 일환으로 수행한 연구로부터 도출된 것이다. 한편, 본 발명의 모든 측면에서 한국 정부의 재산 이익은 없다.This invention was developed by the Ministry of Science and ICT's information protection core technology development (task number: 1711134508, task number: 2021-0-00511-001, research project name: Development of Robust AI and distributed attack detection technology for edge AI security, Project management agency: Information and Communications Planning and Evaluation Institute, Project implementation agency: Soongsil University Industry-Academic Cooperation Foundation, Research period: 2021.04.01~2026.12.31) and Basic Research Laboratory Support Project (Project identification number: 1711137712, Project number: 2021R1A4A1029650, Research project name: It is derived from research conducted as part of the Autonomous Vehicle Security Basic Research Laboratory, project management agency: National Research Foundation of Korea, project implementation agency: Soongsil University Industry-Academic Cooperation Foundation, research period: 2021.06.01 to 2024.02.29). Meanwhile, there is no property interest of the Korean government in any aspect of the present invention.
적대적 변형된 이미지란 이미지 분류를 위한 심층 신경망(Deep Neural Network; DNN)이 원래 클래스가 아닌 다른 클래스로 오인식하도록 입력 이미지에 사람이 인식할 수 없는 적대적 변형(Adversarial perturbation)을 추가하여 생성되는 이미지를 의미하며, 적대적 예제(Adversarial Example)라 부르기도 한다.An adversarial transformed image is an image created by adding adversarial perturbation that cannot be recognized by humans to the input image so that a deep neural network (DNN) for image classification misrecognizes it as a class other than the original class. It is also called an adversarial example.
심층 신경망에 대한 공격자는 네트워크 구조, 학습 데이터셋과 같은 공격 대상인 딥러닝 모델에 관한 어떠한 정보를 알지 못하는 경우가 대부분이다. 이때 공격자는 전이 공격(Transfer attack)을 수행하여 실제 환경에 배치된 딥러닝 모델을 속일 수 있다. 이는 딥러닝 모델들이 유사한 특징을 학습하여 유사한 분류 경계를 형성한다는 특성 및 한 모델을 속이는 적대적 예제가 다른 모델을 속일 수 있다는 특성을 이용하는 것이다.In most cases, attackers of deep neural networks do not know any information about the deep learning model being attacked, such as network structure or training dataset. At this time, the attacker can deceive the deep learning model deployed in the real environment by performing a transfer attack. This utilizes the characteristics that deep learning models learn similar features to form similar classification boundaries and that adversarial examples that fool one model can fool other models.
적대적 학습(Adversarial training) 방법은 이러한 전이 공격을 포함한 적대적 공격에 대응하기 위한 효과적인 방법 중 하나이다. 적대적 학습은 반복적으로 적대적 예제를 생성하고, 딥러닝 모델은 생성된 적대적 예제를 정확하게 분류하도록 학습된다. 하지만, 종래의 적대적 학습 방법은 딥러닝 모델을 적대적 예제만 올바르게 분류하도록 학습하기 때문에 일반적인 학습 방법에 비해 원본 데이터에 대한 분류 정확도가 떨어진다는 문제가 있다.Adversarial training is one of the effective methods for responding to adversarial attacks, including transfer attacks. Adversarial learning repeatedly generates adversarial examples, and a deep learning model is trained to accurately classify the generated adversarial examples. However, conventional adversarial learning methods have the problem of lower classification accuracy for original data compared to general learning methods because they train deep learning models to correctly classify only adversarial examples.
본 발명은 종래의 일반적인 딥러닝 모델 학습 방법보다 정확하게 적대적 예제를 분류할 수 있는 적대적 학습 시스템 및 적대적 학습 방법을 제공하기 위한 것이다.The present invention is intended to provide an adversarial learning system and an adversarial learning method that can classify adversarial examples more accurately than conventional deep learning model learning methods.
또한, 본 발명은 적대적 예제만 올바르게 분류하도록 학습하던 종래의 적대적 학습 방법보다 적대적 변형이 가해지지 않은 원본 데이터에 대한 분류 정확도가 높은 적대적 학습 시스템 및 적대적 학습 방법을 제공하기 위한 것이다.In addition, the present invention is intended to provide an adversarial learning system and an adversarial learning method that have higher classification accuracy for original data without adversarial transformation than conventional adversarial learning methods that learn to correctly classify only adversarial examples.
또한, 본 발명은 전이 가능한 적대적 공격을 받더라도 정확한 분류를 통해 자율 주행 자동차의 주변 객체 오인식에 의한 인명피해 또는 얼굴 오인식에 의한 금전적인 피해를 방지할 수 있는 적대적 학습 시스템 및 적대적 학습 방법을 제공하기 위한 것이다.In addition, the present invention is to provide an adversarial learning system and an adversarial learning method that can prevent casualties due to misrecognition of surrounding objects in self-driving cars or financial damage due to misrecognition of faces through accurate classification even when subjected to transferable adversarial attacks. will be.
개시된 발명의 일 측면에 따른 적대적 학습 시스템은, 학습용 원본 이미지 및 상기 학습용 원본 이미지에 노이즈가 추가되어 생성된 학습용 적대적 변형 이미지를 수신하도록 구성되는 이미지 수신부; 딥러닝 모델을 이용하여 상기 학습용 원본 이미지로부터 원본 이미지 특징을 추출하고, 상기 학습용 적대적 변형 이미지로부터 적대적 변형 이미지 특징을 추출하도록 구성되는 이미지 특징 추출부; 상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 상기 딥러닝 모델을 학습하도록 구성되는 기계학습부를 포함할 수 있다.An adversarial learning system according to one aspect of the disclosed invention includes an image receiving unit configured to receive an original image for learning and an adversarial transformed image for learning generated by adding noise to the original image for learning; an image feature extraction unit configured to extract original image features from the original image for learning using a deep learning model and extract adversarial transformed image features from the adversarial transformed image for learning; It may include a machine learning unit configured to learn the deep learning model based on the original image features and the adversarial transformed image features.
또한, 상기 딥러닝 모델을 이용하여 상기 원본 이미지 특징을 기초로 상기 학습용 원본 이미지에 대한 라벨 값을 생성하고, 상기 적대적 변형 이미지 특징을 기초로 상기 학습용 적대적 변형 이미지에 대한 라벨 값을 생성하도록 구성되는 라벨 분류부를 더 포함하고, 상기 기계학습부는, 상기 원본 이미지 특징, 상기 적대적 변형 이미지 특징, 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 라벨 값을 기초로 상기 딥러닝 모델을 학습하도록 구성될 수 있다.In addition, it is configured to generate a label value for the original image for learning based on the original image features using the deep learning model and to generate a label value for the adversarial transformed image for learning based on the adversarial transformed image features. It further includes a label classification unit, and the machine learning unit is configured to learn the deep learning model based on the original image features, the adversarial transformed image features, the label value of the original image for learning, and the label value of the adversarial transformed image for learning. It can be.
또한, 상기 기계학습부는: 상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 제1 손실 함수를 연산하고; 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 원본 이미지의 정답 라벨 값을 기초로 제2 손실 함수를 연산하고; 그리고 상기 학습용 적대적 변형 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 정답 라벨 값을 기초로 제3 손실 함수를 연산하도록 구성될 수 있다.Additionally, the machine learning unit: calculates a first loss function based on the original image features and the adversarial transformed image features; calculating a second loss function based on the label value of the original image for learning and the correct label value of the original image for learning; And, it may be configured to calculate a third loss function based on the label value of the adversarial modified image for learning and the correct answer label value of the adversarial modified image for learning.
또한, 상기 기계학습부는, 상기 제1 손실 함수, 상기 제2 손실 함수 및 상기 제3 손실 함수를 기초로 제4 손실 함수를 연산하고; 그리고 상기 제4 손실 함수가 감소하게 상기 딥러닝 모델을 학습하도록 구성될 수 있다.In addition, the machine learning unit calculates a fourth loss function based on the first loss function, the second loss function, and the third loss function; And the deep learning model may be configured to learn so that the fourth loss function decreases.
또한, 상기 기계학습부는, 상기 제1 손실 함수에 미리 설정된 상수가 곱해진 값에 상기 제2 손실 함수 및 상기 제3 손실 함수를 합해서 상기 제4 손실 함수를 연산하도록 구성될 수 있다.Additionally, the machine learning unit may be configured to calculate the fourth loss function by adding the second loss function and the third loss function to a value obtained by multiplying the first loss function by a preset constant.
또한, 상기 기계학습부는, 상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징의 차이를 나타내는 값을 상기 제1 손실 함수로 연산하고; 상기 제1 손실 함수가 학습이 반복하면서 감소하게 상기 딥러닝 모델을 학습하도록 구성될 수 있다.In addition, the machine learning unit calculates a value representing the difference between the original image features and the adversarial modified image features using the first loss function; The first loss function may be configured to learn the deep learning model in a manner that decreases as learning repeats.
또한, 상기 이미지 수신부는, 검사 대상 이미지를 수신하도록 구성되고, 상기 이미지 특징 추출부는, 상기 딥러닝 모델을 이용하여 상기 검사 대상 이미지로부터 검사 대상 이미지 특징을 추출하도록 구성되고, 상기 라벨 분류부는, 상기 딥러닝 모델을 이용하여 상기 검사 대상 이미지 특징을 기초로 상기 검사 대상 이미지에 대한 라벨 값을 생성하도록 구성될 수 있다.In addition, the image receiving unit is configured to receive an image to be inspected, the image feature extractor is configured to extract an image feature to be inspected from the image to be inspected using the deep learning model, and the label classifier is configured to extract the image feature to be inspected from the image to be inspected using the deep learning model. It may be configured to generate a label value for the image to be inspected based on the characteristics of the image to be inspected using a deep learning model.
개시된 발명의 일 측면에 따른 적대적 학습 방법은, 적대적 학습 시스템의 동작방법으로서, 학습용 원본 이미지 및 상기 학습용 원본 이미지에 노이즈가 추가되어 생성된 학습용 적대적 변형 이미지를 수신하는 단계; 딥러닝 모델을 이용하여 상기 학습용 원본 이미지로부터 원본 이미지 특징을 추출하고, 상기 학습용 적대적 변형 이미지로부터 적대적 변형 이미지 특징을 추출하는 단계; 상기 딥러닝 모델을 이용하여 상기 원본 이미지 특징을 기초로 상기 학습용 원본 이미지에 대한 라벨 값을 생성하고, 상기 적대적 변형 이미지 특징을 기초로 상기 학습용 적대적 변형 이미지에 대한 라벨 값을 생성하는 단계; 및 상기 원본 이미지 특징, 상기 적대적 변형 이미지 특징, 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 라벨 값을 기초로 상기 딥러닝 모델을 학습하는 단계를 포함할 수 있다.An adversarial learning method according to one aspect of the disclosed invention is a method of operating an adversarial learning system, comprising: receiving an original image for learning and an adversarial transformed image for learning generated by adding noise to the original image for learning; Extracting original image features from the original image for learning and extracting adversarial transformed image features from the adversarial transformed image for learning using a deep learning model; Generating a label value for the original image for learning based on the original image features using the deep learning model, and generating a label value for the adversarial transformed image for learning based on the adversarial transformed image features; And it may include learning the deep learning model based on the original image features, the adversarial transformed image features, the label value of the original image for learning, and the label value of the adversarial transformed image for learning.
또한, 상기 딥러닝 모델을 학습하는 단계는: 상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 제1 손실 함수를 연산하는 단계; 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 원본 이미지의 정답 라벨 값을 기초로 제2 손실 함수를 연산하는 단계; 상기 학습용 적대적 변형 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 정답 라벨 값을 기초로 제3 손실 함수를 연산하는 단계; 상기 제1 손실 함수, 상기 제2 손실 함수 및 상기 제3 손실 함수를 기초로 제4 손실 함수를 연산하는 단계; 및 상기 제4 손실 함수가 감소하게 상기 딥러닝 모델을 학습하는 단계를 포함할 수 있다.Additionally, learning the deep learning model includes: calculating a first loss function based on the original image features and the adversarial transformed image features; calculating a second loss function based on the label value of the original image for learning and the correct label value of the original image for learning; calculating a third loss function based on the label value of the adversarial modified image for learning and the correct answer label value of the adversarial modified image for learning; calculating a fourth loss function based on the first loss function, the second loss function, and the third loss function; And it may include learning the deep learning model so that the fourth loss function decreases.
또한, 개시된 발명의 일 측면에 따른 컴퓨터로 판독 가능한 기록매체는, 상기 스테레오 카메라 입력 기반의 관절 위치 추정 방법을 실행시키도록 컴퓨터 프로그램이 저장될 수 있다.Additionally, the computer-readable recording medium according to one aspect of the disclosed invention may store a computer program to execute the joint position estimation method based on the stereo camera input.
개시된 발명의 일 측면에 따르면, 종래의 일반적인 딥러닝 모델 학습 방법보다 정확하게 적대적 예제를 분류할 수 있다.According to one aspect of the disclosed invention, adversarial examples can be classified more accurately than conventional deep learning model learning methods.
또한, 본 발명의 실시예에 의하면, 적대적 예제만 올바르게 분류하도록 학습하던 종래의 적대적 학습 방법보다 적대적 변형이 가해지지 않은 원본 데이터에 대한 분류 정확도가 높을 수 있다.Additionally, according to an embodiment of the present invention, the classification accuracy for original data to which no adversarial transformation has been applied may be higher than that of a conventional adversarial learning method that learns to correctly classify only adversarial examples.
마지막으로, 본 발명의 실시예에 의하면, 전이 가능한 적대적 공격을 받더라도 정확한 분류를 통해 자율 주행 자동차의 주변 객체 오인식에 의한 인명피해 또는 얼굴 오인식에 의한 금전적인 피해를 방지할 수 있다.Finally, according to an embodiment of the present invention, even if subjected to a transferable adversarial attack, it is possible to prevent casualties due to misrecognition of surrounding objects in an autonomous vehicle or financial damage due to misrecognition of faces through accurate classification.
도 1은 일 실시예에 따른 적대적 학습 시스템의 구성도이다.1 is a configuration diagram of an adversarial learning system according to an embodiment.
도 2는 블랙박스 공격을 통한 전이 공격의 특징을 설명하기 위한 도면이다.Figure 2 is a diagram to explain the characteristics of a transition attack through a black box attack.
도 3은 일 실시예에 따른 딥러닝 모델을 학습하는 과정을 설명하기 위한 도면이다.Figure 3 is a diagram for explaining the process of learning a deep learning model according to an embodiment.
도 4는 일 실시예에 따른 적대적 학습 방법의 순서도이다.Figure 4 is a flowchart of an adversarial learning method according to one embodiment.
도 5는 일 실시예에 따른 적대적 학습 방법이 종래의 딥러닝 학습 방법에 비해 개선된 정도를 나타낸 표이다.Figure 5 is a table showing the degree of improvement of the adversarial learning method according to one embodiment compared to the conventional deep learning learning method.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 명세서가 실시예들의 모든 요소들을 설명하는 것은 아니며, 개시된 발명이 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는 '~부'라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '~부'가 하나의 구성요소로 구현되거나, 하나의 '~부'가 복수의 구성요소들을 포함하는 것도 가능하다.Like reference numerals refer to like elements throughout the specification. This specification does not describe all elements of the embodiments, and general content or overlapping content between the embodiments in the technical field to which the disclosed invention pertains is omitted. The term '~unit' used in the specification may be implemented as software or hardware, and depending on the embodiments, multiple '~units' may be implemented as one component, or one '~unit' may be implemented as a plurality of components. It is also possible to include elements.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다. 단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.Additionally, when a part "includes" a certain component, this means that it may further include other components rather than excluding other components, unless specifically stated to the contrary. Terms such as first and second are used to distinguish one component from another component, and the components are not limited by the above-mentioned terms. Singular expressions include plural expressions unless the context clearly makes an exception.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다. 이하 첨부된 도면들을 참고하여 개시된 발명의 작용 원리 및 실시예들에 대해 설명한다.The identification code for each step is used for convenience of explanation. The identification code does not explain the order of each step, and each step may be performed differently from the specified order unless a specific order is clearly stated in the context. there is. Hereinafter, the operating principle and embodiments of the disclosed invention will be described with reference to the attached drawings.
도 1은 일 실시예에 따른 적대적 학습 시스템의 구성도이다.1 is a configuration diagram of an adversarial learning system according to an embodiment.
도 1을 참조하면, 본 발명의 실시예에 따른 적대적 학습 시스템(100)은 이미지 수신부(110), 이미지 특징 추출부(120), 라벨 분류부(130), 기계학습부(140) 및 메모리(150)를 포함할 수 있다.Referring to Figure 1, the adversarial learning system 100 according to an embodiment of the present invention includes an image reception unit 110, an image feature extraction unit 120, a label classification unit 130, a machine learning unit 140, and a memory ( 150) may be included.
적대적 학습 시스템(100)은 수신된 이미지를 분류하는데 이용되는 딥러닝 모델(151)을 학습하도록 구성되는 시스템일 수 있다. 본 발명의 실시예에 따른 적대적 학습 시스템(100)은 따로 마련된 이미지 분류 장치에 마련된 시스템일 수도 있고, 서버에 마련된 시스템일 수도 있다.The adversarial learning system 100 may be a system configured to learn a deep learning model 151 used to classify received images. The adversarial learning system 100 according to an embodiment of the present invention may be a system provided in a separate image classification device or a system provided in a server.
이미지 수신부(110)는 학습용 원본 이미지(200) 및 학습용 적대적 변형 이미지(300)를 수신할 수 있다. 이미지 수신부(110)가 이미지들을 수신하는 것은 사용자가 입력 단말을 통해 입력한 이미지들을 입력 단말로부터 전달받는 방식으로 수신하는 것일 수 있으나 이에 한정되지 않는다. 예를 들어, 이미지 수신부(110)는 메모리(150)에 미리 저장되어 있던 이미지들을 전달받거나, 적대적 학습 시스템(100)에 포함된 통신부가 서버로부터 수신한 이미지들을 전달받는 방식으로 학습용 원본 이미지(200) 및 학습용 적대적 변형 이미지(300)를 수신할 수도 있다. 이미지 수신부(110)는 수신한 학습용 원본 이미지(200) 및 학습용 적대적 변형 이미지(300)를 이미지 특징 추출부(120)로 전달할 수 있다.The image receiving unit 110 may receive an original image 200 for learning and an adversarial transformation image 300 for learning. The image receiving unit 110 may receive images input by a user through an input terminal, but is not limited to this. For example, the image receiving unit 110 receives the images previously stored in the memory 150, or the communication unit included in the adversarial learning system 100 receives the images received from the server, thereby receiving the original image 200 for learning. ) and an adversarial transformation image 300 for learning may be received. The image receiving unit 110 may transmit the received original image for learning 200 and the received adversarial transformation image 300 for learning to the image feature extracting unit 120.
학습용 원본 이미지(200) 및 학습용 적대적 변형 이미지(300)는 이미지 분류에 이용되는 딥러닝 모델(151)의 학습에 이용되는 복수의 학습용 이미지일 수 있다. 학습용 적대적 변형 이미지(300)는 학습용 원본 이미지(200)에 노이즈가 추가되어 생성되는 이미지일 수 있다.The original image for training 200 and the adversarial transformation image 300 for training may be a plurality of training images used for training the deep learning model 151 used for image classification. The adversarial transformation image 300 for learning may be an image created by adding noise to the original image 200 for learning.
일 실시예에 따른 딥러닝 기반의 이미지 분류 기술은 이미지로부터 추출되는 특징(feature)의 데이터를 기반으로 미리 학습된 딥러닝 모델(151)을 이용하여 이미지를 분류하는 기술일 수 있다. 이때, 이미지로부터 특징을 추출하는 방식을 학습하기 위해 여러 단계의 컨볼루션 계층(convolution layer)을 쌓은 CNN(Convolutional Neural Networks) 구조가 활용될 수 있으나 이미지로부터 특징을 추출하는 방식이 이에 한정되는 것은 아니다.The deep learning-based image classification technology according to one embodiment may be a technology that classifies images using a deep learning model 151 learned in advance based on feature data extracted from images. At this time, a CNN (Convolutional Neural Networks) structure that stacks several convolution layers can be used to learn how to extract features from images, but the method for extracting features from images is not limited to this. .
이미지 특징 추출부(120)는 이미지 수신부(110)로부터 전달받은 이미지로부터 특징을 추출할 수 있다. 어떤 특정한 이미지의 특징은 해당 이미지에 대한 다양한 특성을 나타내는 정보일 수 있다. 예를 들어, 특정한 이미지의 특징은 해당 이미지의 각 픽셀 단위에서의 색상, 명도, 경계 등에 대한 정보일 수 있으나 이에 한정되는 것은 아니다.The image feature extractor 120 may extract features from the image received from the image receiver 110. The characteristics of a specific image may be information representing various characteristics of the image. For example, the characteristics of a specific image may be information about color, brightness, border, etc. in each pixel unit of the image, but are not limited thereto.
이미지 특징 추출부(120)는 딥러닝 모델(151)을 이용하여 학습용 원본 이미지(200)로부터 원본 이미지 특징(501)을 추출하고, 학습용 적대적 변형 이미지(300)로부터 적대적 변형 이미지 특징(502)을 추출할 수 있다. 이미지 특징 추출부(120)는 원본 이미지 특징(501) 및 적대적 변형 이미지 특징(502)을 라벨 분류부(130) 및 기계학습부(140)로 전달할 수 있다.The image feature extraction unit 120 extracts the original image features 501 from the original image 200 for learning using the deep learning model 151 and extracts the adversarial transformed image features 502 from the adversarial transformed image 300 for learning. It can be extracted. The image feature extraction unit 120 may transmit the original image features 501 and the adversarial transformation image features 502 to the label classification unit 130 and the machine learning unit 140.
기계학습부(140)는 원본 이미지 특징(501) 및 적대적 변형 이미지 특징(502)을 기초로 딥러닝 모델(151)을 학습하도록 구성될 수 있다. 기계학습부(140)는 반복적인 기계 학습(Machine Learning)을 통해 딥러닝 모델(151)을 학습할 수 있다. 학습되는 딥러닝 모델(151)은 메모리(150)에 저장될 수 있다.The machine learning unit 140 may be configured to learn a deep learning model 151 based on the original image features 501 and the adversarial transformed image features 502. The machine learning unit 140 can learn the deep learning model 151 through iterative machine learning. The learned deep learning model 151 may be stored in the memory 150.
기계 학습이란 다수의 파라미터로 구성된 모델을 이용하며, 주어진 데이터로 파라미터를 최적화하는 것을 의미할 수 있다. 기계 학습은 학습 문제의 형태에 따라 지도 학습(supervised learning), 비지도 학습(unsupervised learning), 강화 학습(reinforcement learning)을 포함할 수 있다. 지도 학습(supervised learning)은 입력과 출력 사이의 매핑을 학습하는 것이며, 입력과 출력 쌍이 데이터로 주어지는 경우에 적용할 수 있다. 비지도 학습(unsupervised learning)은 입력만 있고 출력은 없는 경우에 적용하며, 입력 사이의 규칙성 등을 찾아낼 수 있다. 다만, 일 실시예에 따른 기계 학습이 반드시 전술한 학습 방식으로 한정되는 것은 아니다.Machine learning can mean using a model composed of multiple parameters and optimizing the parameters with given data. Machine learning may include supervised learning, unsupervised learning, and reinforcement learning, depending on the type of learning problem. Supervised learning is learning the mapping between input and output, and can be applied when input and output pairs are given as data. Unsupervised learning is applied when there is only input and no output, and can find regularities between inputs. However, machine learning according to one embodiment is not necessarily limited to the above-described learning method.
라벨 분류부(130)는 이미지 특징 추출부(120)로부터 전달받은 이미지의 특징을 기초로 딥러닝 모델(151)을 이용하여 적대적 학습 시스템(100)이 수신한 이미지에 대한 라벨 값을 생성할 수 있다. 어떤 이미지에 대한 라벨 값은 해당 이미지에 대한 분류 결과에 관련된 수치 값일 수 있다. 즉, 적대적 학습 시스템(100)은 수신한 복수의 이미지들 각각에 대해 라벨 값을 생성하는 방식으로 각각의 이미지들을 분류할 수 있다.The label classification unit 130 can generate a label value for the image received by the adversarial learning system 100 using the deep learning model 151 based on the characteristics of the image received from the image feature extraction unit 120. there is. The label value for an image may be a numerical value related to the classification result for that image. That is, the adversarial learning system 100 can classify each of the received images by generating a label value for each of them.
라벨 분류부(130)는 원본 이미지 특징(501)을 기초로 학습용 원본 이미지(200)에 대한 라벨 값을 생성할 수 있다. 또한, 라벨 분류부(130)는 적대적 변형 이미지 특징(502)을 기초로 학습용 적대적 변형 이미지(300)에 대한 라벨 값을 생성할 수 있다. 라벨 분류부(130)는 생성된 라벨 값들을 기계학습부(140)로 전달할 수 있다.The label classification unit 130 may generate a label value for the original image 200 for learning based on the original image features 501. Additionally, the label classifier 130 may generate a label value for the adversarial deformed image 300 for learning based on the adversarial deformed image features 502. The label classification unit 130 may transmit the generated label values to the machine learning unit 140.
기계학습부(140)는 원본 이미지 특징(501), 적대적 변형 이미지 특징(502), 학습용 원본 이미지(200)의 라벨 값 및 학습용 적대적 변형 이미지(300)의 라벨 값을 기초로 딥러닝 모델(151)을 학습할 수 있다. 이렇게 전술한 방식으로 적대적 학습 시스템(100)이 수신한 복수의 학습용 원본 이미지(200) 및 복수의 학습용 적대적 변형 이미지(300)의 쌍들에 대해서 기계학습부(140)는 반복하여 딥러닝 모델(151)을 학습할 수 있다.The machine learning unit 140 creates a deep learning model (151) based on the original image features 501, the adversarial transformed image features 502, the label value of the original image 200 for learning, and the label value of the adversarial transformed image 300 for learning. ) can be learned. In this way, the machine learning unit 140 iteratively uses the pairs of the plurality of original images for learning 200 and the plurality of adversarial transformation images 300 for learning received by the adversarial learning system 100 in the above-described manner to create a deep learning model 151. ) can be learned.
반복되는 기계학습이 완료되면, 적대적 학습 시스템(100)은 검사 대상 이미지(400)에 대해서 이미지 분류를 수행할 수 있다. 검사 대상 이미지(400)는 사용자가 학습단계 이후 실제로 분류를 원하는 대상이 되는 이미지일 수 있다.When repeated machine learning is completed, the adversarial learning system 100 can perform image classification on the image 400 to be inspected. The inspection target image 400 may be an image that the user actually wants to classify after the learning step.
이미지 수신부(110)는 검사 대상 이미지(400)를 수신할 수 있다. 이미지 수신부(110)는 검사 대상 이미지(400)를 이미지 특징 추출부(120)로 전달할 수 있다.The image receiver 110 may receive an image 400 to be inspected. The image receiver 110 may transmit the inspection target image 400 to the image feature extractor 120.
이미지 특징 추출부(120)는 미리 학습된 딥러닝 모델(151)을 이용하여 검사 대상 이미지(400)로부터 검사 대상 이미지 특징을 추출할 수 있다. 이미지 특징 추출부(120)는 검사 대상 이미지 특징을 라벨 분류부(130)로 전달할 수 있다. 라벨 분류부(130)는 미리 학습된 딥러닝 모델(151)을 이용하여 검사 대상 이미지 특징을 기초로 검사 대상 이미지(400)에 대한 라벨 값을 생성할 수 있다.The image feature extraction unit 120 may extract image features to be inspected from the image to be inspected 400 using a deep learning model 151 that has been learned in advance. The image feature extraction unit 120 may transmit image features to be inspected to the label classification unit 130. The label classification unit 130 may generate a label value for the image to be inspected 400 based on the characteristics of the image to be inspected using a pre-trained deep learning model 151.
일 실시예에 따른 적대적 학습 시스템(100)에서 이용되는 딥러닝 모델(151)은 단순히 학습용 원본 이미지(200)만 학습용 데이터로 쓰는 것이 아니라 해당 원본 이미지를 적대적 변형한 이미지도 한 쌍으로서 학습용 데이터로 쓸 수 있다. 이로 인해 일 실시예에 따른 적대적 학습 시스템(100)은 블랙박스 공격을 통한 전이 공격에 보다 효과적으로 대응할 수 있다.The deep learning model 151 used in the adversarial learning system 100 according to one embodiment does not simply use only the original image 200 for learning as training data, but also uses a pair of images that have been adversarially transformed from the original image as training data. I can write. Because of this, the adversarial learning system 100 according to one embodiment can respond more effectively to transfer attacks through black box attacks.
도 2는 블랙박스 공격을 통한 전이 공격의 특징을 설명하기 위한 도면이다.Figure 2 is a diagram to explain the characteristics of a transition attack through a black box attack.
도 2를 참조하면, 원본 이미지에 노이즈가 추가되어 생성되는 적대적 이미지에 의해 전이 공격이 가능한 것을 확인할 수 있다.Referring to Figure 2, it can be seen that a transfer attack is possible by an adversarial image created by adding noise to the original image.
적대적 변형 이미지란 이미지 분류를 위한 심층 신경망이 원래 클래스가 아닌 다른 클래스로 오인식하도록 입력 이미지에 사람이 인식할 수 없는 적대적 변형 (Adversarial perturbation)을 추가하여 생성된 이미지이다.An adversarial transformation image is an image created by adding adversarial perturbation that cannot be recognized by humans to the input image so that a deep neural network for image classification misrecognizes it as a class other than the original class.
이미지를 분석하거나 탐지하는 기술 중에서는 이웃 픽셀 간에 유사한 값을 가지는 이미지의 특성을 활용한 탐지 기법(예를 들어, Steganalysis 기반 탐지 기술)이 있다. 이러한 이웃 픽셀 간에 유사한 값을 가지는 이미지의 특성을 활용한 탐지 기법은 탐지 대상 이미지에 노이즈가 추가되어 있는 적대적 변형 이미지에 대해서는 탐지 성능이 떨어지게 된다. 구체적으로, 이웃 픽셀 간에 유사한 값을 가지는 이미지의 특성을 활용한 탐지 기법은 각 픽셀의 8방향 인접 픽셀 중 2방향 이상 값의 차이가 크면 경계로 판단하는데, 이미지 내 객체의 경계 부분에 노이즈가 있으면 이러한 탐지를 회피할 수 있게 된다.Among the techniques for analyzing or detecting images, there is a detection technique (for example, Steganalysis-based detection technique) that utilizes the characteristics of images that have similar values between neighboring pixels. Detection techniques that utilize the characteristics of images with similar values between neighboring pixels have poor detection performance for adversarial deformed images in which noise is added to the detection target image. Specifically, a detection technique that utilizes the characteristics of images with similar values between neighboring pixels determines it as a border if the difference in values in two or more directions among the eight neighboring pixels of each pixel is large. If there is noise at the border of an object in the image, This detection can be avoided.
이미지 수정자(Modifier)는 정상 이미지에 노이즈(Perturbation)가 추가되는 방식으로 적대적 변형 이미지를 생성할 수 있다. 이렇게 생성된 적대적 변형 이미지는 이웃 픽셀 간에 유사한 값을 가지는 이미지의 특성을 활용한 탐지 기법에 의해서는 객체의 경계를 경계로 인식 못하게 될 수 있다. 적대적 변형 이미지가 이미지 분류 장치에 입력되면 성능 좋은 이미지 분류 장치라 해도 이미지 분류 성능이 떨어진다는 문제가 발생할 수 있다. 뿐만 아니라 특정한 인공지능 모델에 대해서 적대적 변형 이미지에 의한 의도적인 전이 공격의 문제가 발생할 수 있다.An image modifier can create an adversarial modified image by adding noise (perturbation) to a normal image. The adversarial deformation image created in this way may not recognize the object's boundary as a boundary using a detection technique that utilizes the characteristics of images with similar values between neighboring pixels. When an adversarial modified image is input to an image classification device, a problem may arise in which image classification performance is poor even if it is a high-performing image classifier. In addition, the problem of intentional transfer attacks by hostile modified images may occur for specific artificial intelligence models.
어떠한 인공지능 모델에 대해서 공격자는 네트워크 구조, 학습 데이터 셋과 같은 공격 대상인 인공지능 모델에 관한 어떠한 정보도 알고 있지 않으므로 일반적인 공격이 불가능하다. 즉, 화이트박스(white-box) 방식의 공격은 일반적으로 불가능하다. 하지만, 공격자가 어떤 인공지능 모델(Model A)에 대해서 적대적 변형 이미지를 통한 공격을 성공시키면, 전이성(Transferability)의 특성을 이용하여 다른 비슷한 모델(Model B)에 대해서도 적대적 변형 이미지를 통한 공격을 성공시킬 수 있다. 즉, 하나의 인공지능 모델을 속이는 적대적 예제는 다른 인공지능 모델을 속일 수 있다는 문제가 있다.For any artificial intelligence model, the attacker does not know any information about the artificial intelligence model that is the target of the attack, such as network structure or learning data set, so general attacks are impossible. In other words, white-box attacks are generally impossible. However, if an attacker successfully attacks an artificial intelligence model (Model A) using a hostile modified image, he or she can also successfully attack another similar model (Model B) using a hostile modified image using the transferability characteristic. You can do it. In other words, there is a problem that an adversarial example that fools one artificial intelligence model can fool other artificial intelligence models.
이러한 적대적 변형 이미지에 의한 문제를 해결하기 위한 종래의 적대적 학습 관련 연구들은 학습 데이터를 변조하여 생성한 적대적 예제를 학습에 활용하여 적대적 예제를 정상 클래스로 분류하도록 학습한다. 이렇게 학습된 모델은 더욱 정교한 분류 경계를 갖게 되어 적대적 예제에 내성을 갖게 된다. 하지만 종래의 적대적 학습 관련 연구들은 정상 데이터를 사용하지 않기 때문에 변형되기 전의 원본 이미지만 사용하는 학습 방식에 비해 적대적으로 변형되지 않은 검사 대상 이미지(400)들에 대한 분류 정확도가 떨어진다는 단점이 있다.Conventional studies related to adversarial learning to solve problems caused by such adversarial deformed images use adversarial examples generated by manipulating training data for learning and learn to classify adversarial examples into normal classes. The model learned in this way has more sophisticated classification boundaries and is more resistant to adversarial examples. However, because conventional adversarial learning-related studies do not use normal data, they have the disadvantage of lower classification accuracy for inspection target images 400 that have not been adversarially transformed compared to learning methods that use only original images before transformation.
도 3은 일 실시예에 따른 딥러닝 모델을 학습하는 과정을 설명하기 위한 도면이다.Figure 3 is a diagram for explaining the process of learning a deep learning model according to an embodiment.
도 3을 참조하면, 기계학습부(140)는 학습용 원본 이미지(200) 및 학습용 적대적 변형 이미지(300) 쌍에 대한 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000001
), 제2 손실 함수(
Figure PCTKR2022020413-appb-img-000002
) 및 제3 손실 함수(
Figure PCTKR2022020413-appb-img-000003
)를 연산할 수 있다.Referring to FIG. 3, the machine learning unit 140 generates a first loss function (
Figure PCTKR2022020413-appb-img-000001
), second loss function (
Figure PCTKR2022020413-appb-img-000002
) and the third loss function (
Figure PCTKR2022020413-appb-img-000003
) can be calculated.
이미지 특징 추출부(Feature Extractor)(120)는 컨볼루션 계층을 이용한 DNN(Deep Neural Networks) 기반 딥러닝 모델(151)을 통해 수신된 이미지에 대한 특징을 추출할 수 있다. 이때, 어떠한 이미지에 대한 특징은 DNN 기반 딥러닝 모델(151)의 마지막 컨볼루션 계층의 출력 값일 수 있다. 즉, 원본 이미지 특징(501)은 학습용 원본 이미지(200)에 대한 DNN 기반 딥러닝 모델(151)의 마지막 컨볼루션 계층의 출력 값(
Figure PCTKR2022020413-appb-img-000004
)이고, 적대적 변형 이미지 특징(502)은 학습용 적대적 변형 이미지(300)에 대한 DNN 기반 딥러닝 모델(151)의 마지막 컨볼루션 계층의 출력 값(
Figure PCTKR2022020413-appb-img-000005
)일 수 있다.The image feature extractor 120 can extract features for the received image through a deep learning model 151 based on Deep Neural Networks (DNN) using a convolutional layer. At this time, the feature of an image may be the output value of the last convolution layer of the DNN-based deep learning model 151. That is, the original image feature 501 is the output value (
Figure PCTKR2022020413-appb-img-000004
), and the adversarial deformed image feature 502 is the output value of the last convolutional layer of the DNN-based deep learning model 151 for the adversarial deformed image 300 for learning (
Figure PCTKR2022020413-appb-img-000005
) can be.
기계학습부(140)는 원본 이미지 특징(501) 및 적대적 변형 이미지 특징(502)을 기초로 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000006
)를 연산할 수 있다. 구체적으로, 기계학습부(140)는 원본 이미지 특징(501) 및 적대적 변형 이미지 특징(502)의 차이를 나타내는 값을 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000007
)로서 연산할 수 있다.The machine learning unit 140 creates a first loss function (
Figure PCTKR2022020413-appb-img-000006
) can be calculated. Specifically, the machine learning unit 140 uses a first loss function (
Figure PCTKR2022020413-appb-img-000007
) can be calculated as.
[방정식 1][Equation 1]
Figure PCTKR2022020413-appb-img-000008
Figure PCTKR2022020413-appb-img-000008
[방정식 1]을 참조하면, 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000009
)는 학습용 원본 이미지(200)에 대한 마지막 컨볼루션 계층의 출력 값(
Figure PCTKR2022020413-appb-img-000010
) 및 학습용 적대적 변형 이미지(300)에 대한 마지막 컨볼루션 계층의 출력 값(
Figure PCTKR2022020413-appb-img-000011
)의 차이를 최소화하는데 이용되는 손실 함수임을 확인할 수 있다. 기계학습부(140)는 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000012
)가 학습이 반복하면서 감소하도록 딥러닝 모델(151)을 학습할 수 있다.Referring to [Equation 1], the first loss function (
Figure PCTKR2022020413-appb-img-000009
) is the output value of the last convolutional layer for the original image for training (200) (
Figure PCTKR2022020413-appb-img-000010
) and the output value of the last convolutional layer for the training adversarial transformed image (300) (
Figure PCTKR2022020413-appb-img-000011
) can be confirmed to be a loss function used to minimize the difference. The machine learning unit 140 has a first loss function (
Figure PCTKR2022020413-appb-img-000012
) can learn the deep learning model 151 so that it decreases as learning repeats.
라벨 분류부(Label Classifier)(130)는 DNN 기반 딥러닝 모델(151)의 마지막 컨볼루션 계층의 출력 값인 이미지 특징을 기초로 각 이미지에 대한 라벨 값을 생성할 수 있다. 즉, 라벨 분류부는 원본 이미지 특징(501)을 기초로 학습용 원본 이미지(x)(200)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000013
)을 생성하고, 적대적 변형 이미지 특징(502)을 기초로 학습용 적대적 변형 이미지(300)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000014
)을 생성할 수 있다.The label classifier 130 may generate a label value for each image based on the image feature, which is the output value of the last convolutional layer of the DNN-based deep learning model 151. In other words, the label classification unit assigns the label value (
Figure PCTKR2022020413-appb-img-000013
), and the label value (
Figure PCTKR2022020413-appb-img-000014
) can be created.
기계학습부(140)는 학습용 원본 이미지(200)의 라벨 값 및 학습용 원본 이미지(200)의 정답 라벨 값을 기초로 제2 손실 함수를 연산할 수 있다. 어느 한 학습용 원본 이미지(200)의 정답 라벨 값은 해당 학습용 원본 이미지(200)가 어떻게 분류될지에 대해서 미리 정해진 정답 값일 수 있다.The machine learning unit 140 may calculate the second loss function based on the label value of the original image 200 for learning and the correct answer label value of the original image 200 for learning. The correct answer label value of one original image 200 for learning may be a predetermined correct answer value regarding how the original image 200 for learning will be classified.
[방정식 2][Equation 2]
Figure PCTKR2022020413-appb-img-000015
Figure PCTKR2022020413-appb-img-000015
[방정식 2]를 참조하면, 제2 손실 함수(
Figure PCTKR2022020413-appb-img-000016
)는 라벨 분류부(130)가 생성한 학습용 원본 이미지(x)(200)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000017
) 및 학습용 원본 이미지(x)(200)의 정답 라벨 값(y)을 내적한 값에 로그 값과 음수를 곱하여 도출된 값(
Figure PCTKR2022020413-appb-img-000018
)으로 연산될 수 있다. 라벨 분류부(130)가 생성한 학습용 원본 이미지(200)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000019
)이 학습용 원본 이미지(200)의 정답 라벨 값(y)과 유사할수록 이들을 내적한 값에 로그 값과 음수를 곱하여 도출된 값(
Figure PCTKR2022020413-appb-img-000020
)은 감소할 수 있다. 즉, 제2 손실 함수(
Figure PCTKR2022020413-appb-img-000021
)는 라벨 분류부(130)가 생성한 학습용 원본 이미지(200)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000022
) 및 학습용 원본 이미지(200)의 정답 라벨 값(y)의 차이를 최소화하는데 이용되는 손실 함수임을 확인할 수 있다.Referring to [Equation 2], the second loss function (
Figure PCTKR2022020413-appb-img-000016
) is the label value (
Figure PCTKR2022020413-appb-img-000017
) and the value derived by multiplying the dot product of the correct answer label value (y) of the original image for learning (x) (200) by the logarithmic value and a negative number (
Figure PCTKR2022020413-appb-img-000018
) can be calculated. The label value (
Figure PCTKR2022020413-appb-img-000019
), the more similar it is to the correct answer label value (y) of the original image 200 for learning, the value derived by multiplying the inner product of these values by the logarithmic value and a negative number (
Figure PCTKR2022020413-appb-img-000020
) can decrease. That is, the second loss function (
Figure PCTKR2022020413-appb-img-000021
) is the label value (
Figure PCTKR2022020413-appb-img-000022
) and the correct answer label value (y) of the original image 200 for learning.
기계학습부(140)는 학습용 적대적 변형 이미지(300)의 라벨 값 및 학습용 적대적 변형 이미지(300)의 정답 라벨 값을 기초로 제3 손실 함수를 연산할 수 있다.The machine learning unit 140 may calculate a third loss function based on the label value of the adversarial deformed image 300 for learning and the correct answer label value of the adversarial deformed image 300 for learning.
[방정식 3][Equation 3]
Figure PCTKR2022020413-appb-img-000023
Figure PCTKR2022020413-appb-img-000023
[방정식 3]를 참조하면, 제3 손실 함수(
Figure PCTKR2022020413-appb-img-000024
)는 라벨 분류부(130)가 생성한 학습용 적대적 변형 이미지(x')(300)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000025
) 및 학습용 적대적 변형 이미지(x')(300)의 정답 라벨 값(y)을 내적한 값에 로그 값과 음수를 곱하여 도출된 값(
Figure PCTKR2022020413-appb-img-000026
)으로 연산될 수 있다. 라벨 분류부(130)가 생성한 학습용 적대적 변형 이미지(300)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000027
)이 학습용 적대적 변형 이미지(300)의 정답 라벨 값(y)과 유사할수록 이들을 내적한 값에 로그 값과 음수를 곱하여 도출된 값(
Figure PCTKR2022020413-appb-img-000028
)은 감소할 수 있다. 즉, 제3 손실 함수(
Figure PCTKR2022020413-appb-img-000029
)는 라벨 분류부(130)가 생성한 학습용 적대적 변형 이미지(300)에 대한 라벨 값(
Figure PCTKR2022020413-appb-img-000030
) 및 학습용 적대적 변형 이미지(300)의 정답 라벨 값(y)의 차이를 최소화하는데 이용되는 손실 함수임을 확인할 수 있다.Referring to [Equation 3], the third loss function (
Figure PCTKR2022020413-appb-img-000024
) is the label value (
Figure PCTKR2022020413-appb-img-000025
) and the value derived by multiplying the dot product of the correct label value (y) of the adversarial transformation image (x') 300 for learning by a logarithmic value and a negative number (
Figure PCTKR2022020413-appb-img-000026
) can be calculated. The label value (
Figure PCTKR2022020413-appb-img-000027
), the more similar it is to the correct label value (y) of the adversarial transformation image 300 for learning, the value derived by multiplying the inner product of these values by the logarithmic value and a negative number (
Figure PCTKR2022020413-appb-img-000028
) can decrease. That is, the third loss function (
Figure PCTKR2022020413-appb-img-000029
) is the label value (
Figure PCTKR2022020413-appb-img-000030
) and the loss function used to minimize the difference between the correct answer label value (y) of the adversarial transformation image 300 for learning.
[방정식 4][Equation 4]
Figure PCTKR2022020413-appb-img-000031
Figure PCTKR2022020413-appb-img-000031
[방정식 4]를 참조하면, 제4 손실 함수(
Figure PCTKR2022020413-appb-img-000032
)는 임의의 값(γ)이 곱해진 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000033
), 제2 손실 함수(
Figure PCTKR2022020413-appb-img-000034
) 및 제3 손실 함수(
Figure PCTKR2022020413-appb-img-000035
)이 합해진 것일 수 있다.Referring to [Equation 4], the fourth loss function (
Figure PCTKR2022020413-appb-img-000032
) is the first loss function (
Figure PCTKR2022020413-appb-img-000033
), second loss function (
Figure PCTKR2022020413-appb-img-000034
) and the third loss function (
Figure PCTKR2022020413-appb-img-000035
) may be a combination of
기계학습부(140)는 제1 손실 함수, 제2 손실 함수 및 제3 손실 함수를 기초로 제4 손실 함수를 연산할 수 있다. 즉, 기계학습부(140)는 제1 손실 함수(
Figure PCTKR2022020413-appb-img-000036
)에 미리 설정된 상수(γ)가 곱해진 값에 제2 손실 함수(
Figure PCTKR2022020413-appb-img-000037
) 및 제3 손실 함수(
Figure PCTKR2022020413-appb-img-000038
)를 합해서 제4 손실 함수(
Figure PCTKR2022020413-appb-img-000039
)를 연산할 수 있다. 기계학습부(140)는 학습을 반복하면서 제4 손실 함수가 감소하도록 딥러닝 모델(151)을 학습할 수 있다.The machine learning unit 140 may calculate the fourth loss function based on the first loss function, second loss function, and third loss function. That is, the machine learning unit 140 uses the first loss function (
Figure PCTKR2022020413-appb-img-000036
) is multiplied by a preset constant (γ) and the second loss function (
Figure PCTKR2022020413-appb-img-000037
) and the third loss function (
Figure PCTKR2022020413-appb-img-000038
) and the fourth loss function (
Figure PCTKR2022020413-appb-img-000039
) can be calculated. The machine learning unit 140 may learn the deep learning model 151 so that the fourth loss function decreases while repeating learning.
이상에서 설명된 구성요소들의 성능에 대응하여 적어도 하나의 구성요소가 추가되거나 삭제될 수 있다. 또한, 구성요소들의 상호 위치는 시스템의 성능 또는 구조에 대응하여 변경될 수 있다는 것은 당해 기술 분야에서 통상의 지식을 가진 자에게 용이하게 이해될 것이다.At least one component may be added or deleted in response to the performance of the components described above. Additionally, it will be easily understood by those skilled in the art that the mutual positions of the components may be changed in response to the performance or structure of the system.
도 4는 일 실시예에 따른 적대적 학습 방법의 순서도이다. 이는 본 발명의 목적을 달성하기 위한 바람직한 실시예일 뿐이며, 필요에 따라 일부 구성이 추가되거나 삭제될 수 있음은 물론이다.Figure 4 is a flowchart of an adversarial learning method according to one embodiment. This is only a preferred embodiment for achieving the purpose of the present invention, and of course, some components may be added or deleted as needed.
도 4를 참조하면, 이미지 수신부(110)는 학습용 원본 이미지(200) 및 학습용 원본 이미지(200)에 노이즈가 추가되어 생성된 학습용 적대적 변형 이미지(300)를 수신할 수 있다(1001).Referring to FIG. 4, the image receiver 110 may receive an original image for training 200 and an adversarial transformation image 300 for training generated by adding noise to the original image 200 for training (1001).
이미지 특징 추출부(120)는 딥러닝 모델(151)을 이용하여 학습용 원본 이미지(200)로부터 원본 이미지 특징(501)을 추출하고, 학습용 적대적 변형 이미지(300)로부터 적대적 변형 이미지 특징(502)을 추출할 수 있다(1002).The image feature extraction unit 120 extracts the original image features 501 from the original image 200 for learning using the deep learning model 151 and extracts the adversarial transformed image features 502 from the adversarial transformed image 300 for learning. Can be extracted (1002).
라벨 분류부(130)는 딥러닝 모델(151)을 이용하여 원본 이미지 특징(501)을 기초로 학습용 원본 이미지(200)에 대한 라벨 값을 생성하고, 적대적 변형 이미지 특징(502)을 기초로 학습용 적대적 변형 이미지(300)에 대한 라벨 값을 생성할 수 있다(1003).The label classification unit 130 uses the deep learning model 151 to generate a label value for the original image 200 for learning based on the original image features 501 and for learning based on the adversarial transformed image features 502. A label value for the adversarial deformed image 300 may be generated (1003).
기계학습부(140)는 제1 손실 함수, 제2 손실 함수 및 제3 손실 함수를 연산할 수 있다(1004). 이때, 기계학습부(140)는 원본 이미지 특징(501) 및 적대적 변형 이미지 특징(502)을 기초로 제1 손실 함수를 연산하고, 학습용 원본 이미지(200)의 라벨 값 및 학습용 원본 이미지(200)의 정답 라벨 값을 기초로 제2 손실 함수를 연산하고, 학습용 적대적 변형 이미지(300)의 라벨 값 및 학습용 적대적 변형 이미지(300)의 정답 라벨 값을 기초로 제3 손실 함수를 연산할 수 있다.The machine learning unit 140 may calculate the first loss function, the second loss function, and the third loss function (1004). At this time, the machine learning unit 140 calculates the first loss function based on the original image features 501 and the adversarial transformed image features 502, and calculates the label value of the original image for learning 200 and the original image for learning 200. A second loss function may be calculated based on the correct answer label value, and a third loss function may be calculated based on the label value of the adversarial deformed image 300 for learning and the correct answer label value of the adversarial deformed image 300 for learning.
기계학습부(140)는 제1 손실 함수, 제2 손실 함수 및 제3 손실 함수를 기초로 제4 손실 함수를 연산할 수 있다(1005). 이때. 기계학습부(140)는 제1 손실 함수에 미리 설정된 상수가 곱해진 값에 제2 손실 함수 및 제3 손실 함수를 합해서 제4 손실 함수를 연산할 수 있다.The machine learning unit 140 may calculate the fourth loss function based on the first loss function, second loss function, and third loss function (1005). At this time. The machine learning unit 140 may calculate the fourth loss function by adding the second loss function and the third loss function to the value obtained by multiplying the first loss function by a preset constant.
기계학습부(140)는 원본 이미지 특징(501), 적대적 변형 이미지 특징(502), 학습용 원본 이미지(200)의 라벨 값 및 학습용 적대적 변형 이미지(300)의 라벨 값을 기초로 딥러닝 모델(151)을 학습할 수 있다(1006). 구체적으로 기계학습부(140)는 학습이 반복될수록 제4 손실 함수가 감소하게 딥러닝 모델(151)을 학습할 수 있다.The machine learning unit 140 creates a deep learning model (151) based on the original image features 501, the adversarial transformed image features 502, the label value of the original image 200 for learning, and the label value of the adversarial transformed image 300 for learning. ) can be learned (1006). Specifically, the machine learning unit 140 can learn the deep learning model 151 so that the fourth loss function decreases as learning is repeated.
이미지 수신부(110), 이미지 특징 추출부(120), 라벨 분류부(130) 및 기계학습부(140)는 적대적 학습 시스템(100)에 포함된 복수개의 프로세서 중 어느 하나의 프로세서를 포함할 수 있다. 또한, 지금까지 설명된 본 발명의 실시예에 따른 적대적 학습 방법은, 프로세서에 의해 구동될 수 있는 프로그램의 형태로 구현될 수 있다.The image reception unit 110, the image feature extraction unit 120, the label classification unit 130, and the machine learning unit 140 may include any one processor among a plurality of processors included in the adversarial learning system 100. . Additionally, the adversarial learning method according to the embodiment of the present invention described so far can be implemented in the form of a program that can be driven by a processor.
여기서 프로그램은, 프로그램 명령, 데이터 파일 및 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 프로그램은 기계어 코드나 고급 언어 코드를 이용하여 설계 및 제작된 것일 수 있다. 프로그램은 상술한 부호 수정을 위한 방법을 구현하기 위하여 특별히 설계된 것일 수도 있고, 컴퓨터 소프트웨어 분야에서 통상의 기술자에게 기 공지되어 사용 가능한 각종 함수나 정의를 이용하여 구현된 것일 수도 있다. 전술한 정보 표시 방법을 구현하기 위한 프로그램은, 프로세서에 의해 판독 가능한 비일시적 기록매체에 기록될 수 있다. 이때, 기록매체는 메모리(150)일 수 있다.Here, the program may include program instructions, data files, and data structures, etc., singly or in combination. Programs may be designed and produced using machine code or high-level language code. The program may be specially designed to implement the above-described method for modifying the code, or may be implemented using various functions or definitions known and available to those skilled in the art in the field of computer software. A program for implementing the above-described information display method may be recorded on a non-transitory recording medium readable by a processor. At this time, the recording medium may be the memory 150.
메모리(150)는 전술한 동작 및 후술하는 동작을 수행하는 프로그램을 저장할 수 있으며, 메모리(150)는 저장된 프로그램을 실행시킬 수 있다. 프로세서와 메모리(150)가 복수인 경우에, 이들이 하나의 칩에 집적되는 것도 가능하고, 물리적으로 분리된 위치에 마련되는 것도 가능하다. 메모리(150)는 데이터를 일시적으로 기억하기 위한 S램(Static Random Access Memory, S-RAM), D랩(Dynamic Random Access Memory) 등의 휘발성 메모리를 포함할 수 있다. 또한, 메모리(150)는 제어 프로그램 및 제어 데이터를 장기간 저장하기 위한 롬(Read Only Memory), 이피롬(Erasable Programmable Read Only Memory: EPROM), 이이피롬(Electrically Erasable Programmable Read Only Memory: EEPROM) 등의 비휘발성 메모리를 포함할 수 있다. 프로세서는 각종 논리 회로와 연산 회로를 포함할 수 있으며, 메모리(150)로부터 제공된 프로그램에 따라 데이터를 처리하고, 처리 결과에 따라 제어 신호를 생성할 수 있다.The memory 150 can store programs that perform the operations described above and the operations described later, and the memory 150 can execute the stored programs. In the case where there are a plurality of processors and memories 150, they may be integrated into one chip or may be provided in physically separate locations. The memory 150 may include volatile memory such as Static Random Access Memory (S-RAM) or Dynamic Random Access Memory (D-Lab) for temporarily storing data. In addition, the memory 150 includes read only memory (ROM), erasable programmable read only memory (EPROM), and electrically erasable programmable read only memory (EEPROM) for long-term storage of control programs and control data. May include non-volatile memory. The processor may include various logic circuits and operation circuits, process data according to a program provided from the memory 150, and generate control signals according to the processing results.
본 발명의 실시예에 따른 적대적 학습 시스템(100)의 성능을 검증하기 위하여, 종래의 딥러닝 학습 방법과 본 발명의 적대적 학습 방법으로 CIFAR-10 및 CIFAR-100의 데이터셋의 이미지를 분류하는 실험을 진행하였다.In order to verify the performance of the adversarial learning system 100 according to an embodiment of the present invention, an experiment was performed to classify images of the CIFAR-10 and CIFAR-100 datasets using the conventional deep learning learning method and the adversarial learning method of the present invention. proceeded.
도 5는 일 실시예에 따른 적대적 학습 방법이 종래의 딥러닝 학습 방법에 비해 개선된 정도를 나타낸 표이다.Figure 5 is a table showing the degree of improvement of the adversarial learning method according to one embodiment compared to the conventional deep learning learning method.
도 5를 참조하면, 일 실시예에 따른 적대적 학습 방법(Feature-based Aeversarial Training; FAT)이 다른 종래의 방법(Natural training, PGD Training 및 TRADES)보다 분류 성능이 더 뛰어나다는 것을 확인할 수 있다. 구체적으로, 도 5의 상단의 표는 CIFAR-10의 데이터셋의 이미지를 분류하는 실험 결과이고, 하단의 표는 CIFAR-100의 데이터셋의 이미지를 분류하는 실험 결과이다.Referring to Figure 5, it can be seen that the adversarial learning method (Feature-based Aeversarial Training; FAT) according to one embodiment has better classification performance than other conventional methods (Natural training, PGD Training, and TRADES). Specifically, the table at the top of Figure 5 is the result of an experiment for classifying images of the CIFAR-10 dataset, and the table at the bottom is the result of an experiment for classifying images of the CIFAR-100 dataset.
도시된 표의 각 성분에 표시된 수치들은 해당 행에 대응되는 학습 방법으로 해당 열에 대응되는 데이터 셋에 대한 분류 정확도를 나타낸다. 예를 들어, 일 실시예에 따른 적대적 학습 방법(Feature-based Aeversarial Training; FAT)은 적대적 변형이 가해지지 않은 원본 이미지 셋(Natural)에 대해서 종래의 일반적인 학습 방법(Natural Training)보다는 분류 정확도가 낮지만, 종래의 적대적 학습 방법(PGD Training 및 TRADES)보다는 분류 정확도가 높다. 또한, 일 실시예에 따른 적대적 학습 방법(Feature-based Aeversarial Training; FAT)은 적대적 변형이 가해진 이미지 셋(FGSM, PGD-20, DeepFool, CW-20 및 MIM-20)에 대해서 종래의 적대적 학습 방법들(Feature-based Aeversarial Training; FAT)보다 분류 정확도가 높다는 것을 확인할 수 있다.The values shown in each component of the table indicate the classification accuracy for the data set corresponding to the corresponding column by the learning method corresponding to the corresponding row. For example, the adversarial learning method (Feature-based Aeversarial Training; FAT) according to one embodiment has lower classification accuracy than the conventional general learning method (Natural Training) for the original image set (Natural) to which no adversarial transformation has been applied. However, the classification accuracy is higher than conventional adversarial learning methods (PGD Training and TRADES). In addition, the adversarial learning method (Feature-based Aeversarial Training; FAT) according to one embodiment is a conventional adversarial learning method for image sets (FGSM, PGD-20, DeepFool, CW-20, and MIM-20) to which adversarial transformation has been applied. It can be confirmed that the classification accuracy is higher than that of Feature-based Aeversarial Training (FAT).
정리하면, 일 실시예에 따른 적대적 학습 방법(FAT)이 종래의 일반적인 학습 방법(Natural Training)과 종래의 적대적 학습 방법(PGD Training 및 TRADES)보다 적대적 변형이 가해진 이미지 셋(FGSM, PGD-20, DeepFool, CW-20 및 MIM-20)에 대해서 더 정확하게 분류를 하면서도, 종래의 적대적 학습 방법(PGD Training 및 TRADES)보다 적대적 변형이 가해지지 않은 원본 이미지 셋(Natural)에 대해서 더 정확하게 분류하는 것을 확인할 수 있다.In summary, the adversarial learning method (FAT) according to one embodiment is more adversarial than the conventional learning method (Natural Training) and the conventional adversarial learning method (PGD Training and TRADES). DeepFool, CW-20, and MIM-20) while more accurately classifying the original image set (Natural) to which no adversarial transformation has been applied than the conventional adversarial learning methods (PGD Training and TRADES). You can.
이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 발명이 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.As described above, the disclosed embodiments have been described with reference to the attached drawings. A person skilled in the art to which the present invention pertains will understand that the present invention can be practiced in forms different from the disclosed embodiments without changing the technical idea or essential features of the present invention. The disclosed embodiments are illustrative and should not be construed as limiting.

Claims (10)

  1. 학습용 원본 이미지 및 상기 학습용 원본 이미지에 노이즈가 추가되어 생성된 학습용 적대적 변형 이미지를 수신하도록 구성되는 이미지 수신부;an image receiving unit configured to receive an original image for learning and an adversarial transformation image for learning generated by adding noise to the original image for learning;
    딥러닝 모델을 이용하여 상기 학습용 원본 이미지로부터 원본 이미지 특징을 추출하고, 상기 학습용 적대적 변형 이미지로부터 적대적 변형 이미지 특징을 추출하도록 구성되는 이미지 특징 추출부;an image feature extraction unit configured to extract original image features from the original image for learning using a deep learning model and extract adversarial transformed image features from the adversarial transformed image for learning;
    상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 상기 딥러닝 모델을 학습하도록 구성되는 기계학습부를 포함하는 적대적 학습 시스템.An adversarial learning system including a machine learning unit configured to learn the deep learning model based on the original image features and the adversarial transformed image features.
  2. 제1항에 있어서,According to paragraph 1,
    상기 딥러닝 모델을 이용하여 상기 원본 이미지 특징을 기초로 상기 학습용 원본 이미지에 대한 라벨 값을 생성하고, 상기 적대적 변형 이미지 특징을 기초로 상기 학습용 적대적 변형 이미지에 대한 라벨 값을 생성하도록 구성되는 라벨 분류부를 더 포함하고,A label classification configured to generate a label value for the original image for learning based on the original image features using the deep learning model and generate a label value for the adversarial transformed image for learning based on the adversarial transformed image features. Contains more wealth,
    상기 기계학습부는,The machine learning department,
    상기 원본 이미지 특징, 상기 적대적 변형 이미지 특징, 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 라벨 값을 기초로 상기 딥러닝 모델을 학습하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to learn the deep learning model based on the original image features, the adversarial transformed image features, the label value of the original image for learning, and the label value of the adversarial transformed image for learning.
  3. 제2항에 있어서,According to paragraph 2,
    상기 기계학습부는:The machine learning department:
    상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 제1 손실 함수를 연산하고;calculate a first loss function based on the original image features and the adversarial modified image features;
    상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 원본 이미지의 정답 라벨 값을 기초로 제2 손실 함수를 연산하고; 그리고calculating a second loss function based on the label value of the original image for learning and the correct label value of the original image for learning; and
    상기 학습용 적대적 변형 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 정답 라벨 값을 기초로 제3 손실 함수를 연산하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to calculate a third loss function based on the label value of the adversarial transformed image for learning and the correct answer label value of the adversarial transformed image for learning.
  4. 제3항에 있어서,According to paragraph 3,
    상기 기계학습부는,The machine learning department,
    상기 제1 손실 함수, 상기 제2 손실 함수 및 상기 제3 손실 함수를 기초로 제4 손실 함수를 연산하고; 그리고calculate a fourth loss function based on the first loss function, the second loss function, and the third loss function; and
    상기 제4 손실 함수가 감소하게 상기 딥러닝 모델을 학습하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to learn the deep learning model so that the fourth loss function decreases.
  5. 제4항에 있어서,According to paragraph 4,
    상기 기계학습부는,The machine learning department,
    상기 제1 손실 함수에 미리 설정된 상수가 곱해진 값에 상기 제2 손실 함수 및 상기 제3 손실 함수를 합해서 상기 제4 손실 함수를 연산하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to calculate the fourth loss function by adding the second loss function and the third loss function to a value obtained by multiplying the first loss function by a preset constant.
  6. 제3항에 있어서,According to paragraph 3,
    상기 기계학습부는,The machine learning department,
    상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징의 차이를 나타내는 값을 상기 제1 손실 함수로 연산하고;calculate a value representing a difference between the original image feature and the adversarial modified image feature with the first loss function;
    상기 제1 손실 함수가 학습이 반복하면서 감소하게 상기 딥러닝 모델을 학습하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to learn the deep learning model so that the first loss function decreases as learning is repeated.
  7. 제2항에 있어서,According to paragraph 2,
    상기 이미지 수신부는,The image receiver,
    검사 대상 이미지를 수신하도록 구성되고,configured to receive an image to be inspected,
    상기 이미지 특징 추출부는,The image feature extraction unit,
    상기 딥러닝 모델을 이용하여 상기 검사 대상 이미지로부터 검사 대상 이미지 특징을 추출하도록 구성되고,Configured to extract inspection target image features from the inspection target image using the deep learning model,
    상기 라벨 분류부는,The label classification unit,
    상기 딥러닝 모델을 이용하여 상기 검사 대상 이미지 특징을 기초로 상기 검사 대상 이미지에 대한 라벨 값을 생성하도록 구성되는, 적대적 학습 시스템.An adversarial learning system configured to generate a label value for the image to be inspected based on the characteristics of the image to be inspected using the deep learning model.
  8. 적대적 학습 시스템의 동작방법으로서,As a method of operating an adversarial learning system,
    학습용 원본 이미지 및 상기 학습용 원본 이미지에 노이즈가 추가되어 생성된 학습용 적대적 변형 이미지를 수신하는 단계;Receiving an original image for training and an adversarial transformation image for training generated by adding noise to the original image for training;
    딥러닝 모델을 이용하여 상기 학습용 원본 이미지로부터 원본 이미지 특징을 추출하고, 상기 학습용 적대적 변형 이미지로부터 적대적 변형 이미지 특징을 추출하는 단계;Extracting original image features from the original image for learning and extracting adversarial transformed image features from the adversarial transformed image for learning using a deep learning model;
    상기 딥러닝 모델을 이용하여 상기 원본 이미지 특징을 기초로 상기 학습용 원본 이미지에 대한 라벨 값을 생성하고, 상기 적대적 변형 이미지 특징을 기초로 상기 학습용 적대적 변형 이미지에 대한 라벨 값을 생성하는 단계; 및Generating a label value for the original image for learning based on the original image features using the deep learning model, and generating a label value for the adversarial transformed image for learning based on the adversarial transformed image features; and
    상기 원본 이미지 특징, 상기 적대적 변형 이미지 특징, 상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 라벨 값을 기초로 상기 딥러닝 모델을 학습하는 단계를 포함하는, 적대적 학습 방법.An adversarial learning method comprising the step of learning the deep learning model based on the original image features, the adversarial transformed image features, the label value of the original image for learning, and the label value of the adversarial transformed image for learning.
  9. 제8항에 있어서,According to clause 8,
    상기 딥러닝 모델을 학습하는 단계는:The steps for learning the deep learning model are:
    상기 원본 이미지 특징 및 상기 적대적 변형 이미지 특징을 기초로 제1 손실 함수를 연산하는 단계;calculating a first loss function based on the original image features and the adversarial modified image features;
    상기 학습용 원본 이미지의 라벨 값 및 상기 학습용 원본 이미지의 정답 라벨 값을 기초로 제2 손실 함수를 연산하는 단계;calculating a second loss function based on the label value of the original image for learning and the correct label value of the original image for learning;
    상기 학습용 적대적 변형 이미지의 라벨 값 및 상기 학습용 적대적 변형 이미지의 정답 라벨 값을 기초로 제3 손실 함수를 연산하는 단계;calculating a third loss function based on the label value of the adversarial modified image for learning and the correct answer label value of the adversarial modified image for learning;
    상기 제1 손실 함수, 상기 제2 손실 함수 및 상기 제3 손실 함수를 기초로 제4 손실 함수를 연산하는 단계; 및calculating a fourth loss function based on the first loss function, the second loss function, and the third loss function; and
    상기 제4 손실 함수가 감소하게 상기 딥러닝 모델을 학습하는 단계를 포함하는, 적대적 학습 방법.An adversarial learning method comprising training the deep learning model so that the fourth loss function decreases.
  10. 제8항의 적대적 학습 방법을 실행시키도록 컴퓨터 프로그램이 저장된 컴퓨터로 판독 가능한 비일시적 기록매체.A computer-readable, non-transitory recording medium storing a computer program to execute the adversarial learning method of claim 8.
PCT/KR2022/020413 2022-06-22 2022-12-15 Adversarial training system and adversarial training method WO2023249184A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2022-0076352 2022-06-22
KR1020220076352A KR20230175007A (en) 2022-06-22 2022-06-22 Adversarial training system and adversarial training method

Publications (1)

Publication Number Publication Date
WO2023249184A1 true WO2023249184A1 (en) 2023-12-28

Family

ID=89334212

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/020413 WO2023249184A1 (en) 2022-06-22 2022-12-15 Adversarial training system and adversarial training method

Country Status (2)

Country Link
KR (1) KR20230175007A (en)
WO (1) WO2023249184A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210030063A (en) * 2019-09-09 2021-03-17 서강대학교산학협력단 System and method for constructing a generative adversarial network model for image classification based on semi-supervised learning
KR20210088146A (en) * 2020-01-06 2021-07-14 계명대학교 산학협력단 Network intrusion detection system and method based on ae-cgan model
KR102346122B1 (en) * 2021-03-15 2021-12-31 국민대학교산학협력단 Apparatus and method for generating and verifying training data
KR20220041943A (en) * 2020-04-30 2022-04-01 주식회사 스트라드비젼 Method for continuous learning of classifier for classifying client images using continuous learning server and continuous learning server using same
KR20220058189A (en) * 2020-10-30 2022-05-09 삼성전자주식회사 Method and apparatus for classifying using neural network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210030063A (en) * 2019-09-09 2021-03-17 서강대학교산학협력단 System and method for constructing a generative adversarial network model for image classification based on semi-supervised learning
KR20210088146A (en) * 2020-01-06 2021-07-14 계명대학교 산학협력단 Network intrusion detection system and method based on ae-cgan model
KR20220041943A (en) * 2020-04-30 2022-04-01 주식회사 스트라드비젼 Method for continuous learning of classifier for classifying client images using continuous learning server and continuous learning server using same
KR20220058189A (en) * 2020-10-30 2022-05-09 삼성전자주식회사 Method and apparatus for classifying using neural network
KR102346122B1 (en) * 2021-03-15 2021-12-31 국민대학교산학협력단 Apparatus and method for generating and verifying training data

Also Published As

Publication number Publication date
KR20230175007A (en) 2023-12-29

Similar Documents

Publication Publication Date Title
WO2018217019A1 (en) Device for detecting variant malicious code on basis of neural network learning, method therefor, and computer-readable recording medium in which program for executing same method is recorded
WO2019074195A1 (en) Device and method for deep learning-based image comparison, and computer program stored in computer-readable recording medium
EP3461290A1 (en) Learning model for salient facial region detection
WO2020045714A1 (en) Method and system for recognizing contents
WO2017164478A1 (en) Method and apparatus for recognizing micro-expressions through deep learning analysis of micro-facial dynamics
WO2021261696A1 (en) Visual object instance segmentation using foreground-specialized model imitation
WO2022055099A1 (en) Anomaly detection method and device therefor
WO2019098418A1 (en) Neural network training method and device
WO2020032420A1 (en) Method for training and testing data embedding network to generate marked data by integrating original data with mark data, and training device and testing device using the same
CN110852311A (en) Three-dimensional human hand key point positioning method and device
WO2020246655A1 (en) Situation recognition method and device for implementing same
WO2021215710A1 (en) Method for preventing breach of original data for deep learning and data breach preventing device using them
WO2022039319A1 (en) Personal information de-identification method, verification method, and system
WO2023165616A1 (en) Method and system for detecting concealed backdoor of image model, storage medium, and terminal
CN115797735A (en) Target detection method, device, equipment and storage medium
WO2020231005A1 (en) Image processing device and operation method thereof
WO2019045147A1 (en) Memory optimization method for applying deep learning to pc
WO2023249184A1 (en) Adversarial training system and adversarial training method
CN114741697B (en) Malicious code classification method and device, electronic equipment and medium
WO2022139327A1 (en) Method and apparatus for detecting unsupported utterances in natural language understanding
WO2024029669A1 (en) Adversarial image reconstruction system and adversarial image reconstruction method
WO2023033194A1 (en) Knowledge distillation method and system specialized for pruning-based deep neural network lightening
CN111666985B (en) Deep learning confrontation sample image classification defense method based on dropout
WO2021071258A1 (en) Mobile security image learning device and method based on artificial intelligence
CN112381149A (en) Reasonable countermeasure analysis method for source camera recognition based on deep learning

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22948116

Country of ref document: EP

Kind code of ref document: A1