人体スケルトンデータのための攻撃評価と拡張アイデンティティ認識

要旨: セキュリティ用途のために小規模データセットで訓練された機械学習モデルは、特に敵対的攻撃に対して脆弱です。LiDAR に基づくスケルトンデータからの人物同定には、各被験者のアイデンティティごとに時間を要し費用のかかるデータ取得が必要です。近年、スケルトンのための評価および拡張アイデンティティ認識（AAIRS）が、小規模な LiDAR ベースのスケルトンデータセットを用いて人物同定のための階層的共起ネットワーク（HCN-ID）を訓練するために用いられてきました。しかし、AAIRS は HCN-ID の敵対的攻撃に対する頑健性を評価せず、そのような攻撃への防御のためにモデルを免疫化（inoculate）もしません。敵対的攻撃を生成するための、一般的な擾乱（perturbation）ベースの手法は、実際の訓練サンプルに付加される標的型の擾乱に制約されており、小規模訓練セットでモデルを免疫化するのには理想的ではありません。そこで本研究では、AAIRS フレームワークへの新たな追加である Attack-AAIRS を提案します。Attack-AAIRS は、小規模な実データセットと GAN によって生成された合成データセットを活用し、未見の敵対的攻撃に対するモデル頑健性を評価し改善します。限られた実訓練サンプルへの擾乱に制約されるのではなく、GAN は HCN-ID の弱点を突く敵対的攻撃サンプルの分布を学習します。この分布から抽出した攻撃サンプルは、頑健性を向上させるための HCN-ID の免疫化訓練を補強します。Attack-AAIRS の 10 分割交差検証により、FGSM、PGD、加法的ガウス雑音、MI-FGSM、BIM を含む未見の攻撃に対する頑健性の向上が得られました。さらに、Attack-AAIRS の HCN-ID 合成データ品質スコアは、生成された攻撃サンプルが AAIRS によって生成された元の良性（benign）の合成サンプルと同等の品質であることを示しています。加えて、免疫化されたモデルは、実データで訓練された元のモデルと整合した最終テスト精度を示し、本手法が実データ上のテスト性能を低下させることなく敵対的攻撃への頑健性を改善することを示しています。