딥뉴럴네트워크는 머신러닝 분야 중 이미지 인식, 사물 인식 등에 좋은 성능을 보여주고 있다. 그러나 딥뉴럴네트워크는 적대적 샘플(Adversarial example)에 취약점이 있다. 적대적 샘플은 원본 샘플에 최소한의 noise를 넣어서 딥뉴럴네트워크가 잘못 인식하게 하는 샘플이다. 그러나 이러한 적대적 샘플은 원본 샘플간의 최소한의 noise을 주면서 동시에 딥뉴럴네트워크가 잘못 인식하도록 하는 샘플을 생성하는 데 시간이 많이 걸린다는 단점이 있다. 따라서 어떠한 경우에 최소한의 noise가 아니더라도 신속하게 딥뉴럴네트워크가 잘못 인식하도록 하는 공격이 필요할 수 있다. 이 논문에서, 우리는 신속하게 딥뉴럴네트워크를 공격하는 것에 우선순위를 둔 신속한 오인식 샘플 생성 공격을 제안하고자 한다. 이 제안방법은 원본 샘플에 대한 왜곡을 고려하지 않고 딥뉴럴네트워크의 오인식에 중점을 둔 noise를 추가하는 방식이다. 따라서 이 방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다. 실험데이터로는 MNIST와 CIFAR10를 사용하였으며 머신러닝 라이브러리로 Tensorflow를 사용하였다. 실험결과에서, 제안한 오인식 샘플은 기존방법에 비해서 MNIST와 CIFAR10에서 각각 50%, 80% 감소된 반복횟수이면서 100% 공격률을 가진다.
딥뉴럴네트워크는 머신러닝 분야 중 이미지 인식, 사물 인식 등에 좋은 성능을 보여주고 있다. 그러나 딥뉴럴네트워크는 적대적 샘플(Adversarial example)에 취약점이 있다. 적대적 샘플은 원본 샘플에 최소한의 noise를 넣어서 딥뉴럴네트워크가 잘못 인식하게 하는 샘플이다. 그러나 이러한 적대적 샘플은 원본 샘플간의 최소한의 noise을 주면서 동시에 딥뉴럴네트워크가 잘못 인식하도록 하는 샘플을 생성하는 데 시간이 많이 걸린다는 단점이 있다. 따라서 어떠한 경우에 최소한의 noise가 아니더라도 신속하게 딥뉴럴네트워크가 잘못 인식하도록 하는 공격이 필요할 수 있다. 이 논문에서, 우리는 신속하게 딥뉴럴네트워크를 공격하는 것에 우선순위를 둔 신속한 오인식 샘플 생성 공격을 제안하고자 한다. 이 제안방법은 원본 샘플에 대한 왜곡을 고려하지 않고 딥뉴럴네트워크의 오인식에 중점을 둔 noise를 추가하는 방식이다. 따라서 이 방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다. 실험데이터로는 MNIST와 CIFAR10를 사용하였으며 머신러닝 라이브러리로 Tensorflow를 사용하였다. 실험결과에서, 제안한 오인식 샘플은 기존방법에 비해서 MNIST와 CIFAR10에서 각각 50%, 80% 감소된 반복횟수이면서 100% 공격률을 가진다.
Deep neural networks (DNNs) provide good performance for machine learning tasks such as image recognition and object recognition. However, DNNs are vulnerable to an adversarial example. An adversarial example is an attack sample that causes the neural network to recognize it incorrectly by adding mi...
Deep neural networks (DNNs) provide good performance for machine learning tasks such as image recognition and object recognition. However, DNNs are vulnerable to an adversarial example. An adversarial example is an attack sample that causes the neural network to recognize it incorrectly by adding minimal noise to the original sample. However, the disadvantage is that it takes a long time to generate such an adversarial example. Therefore, in some cases, an attack may be necessary that quickly causes the neural network to recognize it incorrectly. In this paper, we propose a fast misclassification sample that can rapidly attack neural networks. The proposed method does not consider the distortion of the original sample when adding noise. We used MNIST and CIFAR10 as experimental data and Tensorflow as a machine learning library. Experimental results show that the fast misclassification sample generated by the proposed method can be generated with 50% and 80% reduced number of iterations for MNIST and CIFAR10, respectively, compared to the conventional Carlini method, and has 100% attack rate.
Deep neural networks (DNNs) provide good performance for machine learning tasks such as image recognition and object recognition. However, DNNs are vulnerable to an adversarial example. An adversarial example is an attack sample that causes the neural network to recognize it incorrectly by adding minimal noise to the original sample. However, the disadvantage is that it takes a long time to generate such an adversarial example. Therefore, in some cases, an attack may be necessary that quickly causes the neural network to recognize it incorrectly. In this paper, we propose a fast misclassification sample that can rapidly attack neural networks. The proposed method does not consider the distortion of the original sample when adding noise. We used MNIST and CIFAR10 as experimental data and Tensorflow as a machine learning library. Experimental results show that the fast misclassification sample generated by the proposed method can be generated with 50% and 80% reduced number of iterations for MNIST and CIFAR10, respectively, compared to the conventional Carlini method, and has 100% attack rate.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
c는 가중치 값으로 왜곡 loss function과 공격 loss function에 대한 가중치를 조절해주는 역할을 한다. 따라서 기본적인 방법은 목표함수 F를 최소화함으로써 공격성공률을 높이면서 동시에 최소한의 왜곡을 만족하는 적대적 샘플을 찾는 것을 목표로 한다. 그러나 이 방법은 두가지 조건을 동시에 만족하도록 적대적 샘플을 생성해야하기 때문에 상대적으로 많은 계산과 시간이 소요된다.
이 논문에서는 딥뉴럴네트워크가 오작동하는 것에 우선순위를 둔 신속한 오인식 샘플 생성 공격(fast misclassification sample)을 제안한다. 제안 방법은 원본 샘플에 대한 왜곡에 대한 고려없이 신속하게 딥뉴럴네트워크가 오인식이 되는 최적화된 noise를 생성하여 오인식 샘플을 생성한다.
이 논문에서는 딥뉴럴네트워크를 오인식하는데 보다 적은 반복횟수로 공격하는 방법을 제안하였다. 제안한 방법은 원본 샘플간의 왜곡성을 가중치를 제거하고 딥뉴럴네트워크를 오인식하는 fast misclassification sample을 생성한다.
따라서 이 논문에서 제안하는 방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다. 이에 대해서 본 논문에서는 제안방법에 대한 시스템적인 구성과 최적화된 noise을 생성하여 제안샘플의 생성과정 원리에 대해서 설명을 하였다. 다음으로 제안방법에 대하여 성능비교를 위하여 기존 최신방법인 Carlini method[6]와 반복횟수와 공격성공률에 대하여 비교하였다.
가설 설정
반면에 블랙박스 공격[11, 12]은 목표모델에 대한 정보가 없이 입력값에 대한 결과값만 아는 상황에서의 공격을 의미한다. 이 연구에서는 화이트박스를 가정하여 목표 모델에 대한 소프트맥스의 수치를 안다는 가정 하에 제안샘플을 생성한다.
적대적 샘플이 목표 모델에 대한 정보양에 따라서 화이트박스 공격[6,10]과 블랙박스 공격으로 구분될 수 있다. 화이트박스 공격은 목표모델에 대한 모든 정보에 대해서 공격자가 알고 있는 상황을 가정한다. 이 경우에 모델의 파라미터, 모델의 구조, 소프트맥스의 수치 등에 대한 모든 정보를 알고 있다는 가정 하에 공격을 의미한다.
제안 방법
이에 대해서 본 논문에서는 제안방법에 대한 시스템적인 구성과 최적화된 noise을 생성하여 제안샘플의 생성과정 원리에 대해서 설명을 하였다. 다음으로 제안방법에 대하여 성능비교를 위하여 기존 최신방법인 Carlini method[6]와 반복횟수와 공격성공률에 대하여 비교하였다. 또한, 제안한 샘플 공격에 대한 이미지에 대해서 목표공격과 비목표공격에 대해서도 분석을 하였다.
딥뉴럴네트워크 공격목표 측면에서, 제안방법에서 목표-적대적 샘플과 비목표-적대적 샘플에 대해서 각각 성능을 분석하였다. 목표-적대적 샘플은 공격자가 정한 class로 오인식 하는 방법으로 좀 더 많은 왜곡이 필요하다.
다음으로 제안방법에 대하여 성능비교를 위하여 기존 최신방법인 Carlini method[6]와 반복횟수와 공격성공률에 대하여 비교하였다. 또한, 제안한 샘플 공격에 대한 이미지에 대해서 목표공격과 비목표공격에 대해서도 분석을 하였다. 마지막으로 제안방법의 성능을 보이기 위해서 MNIST[7]와 CIFAR10[8] 데이터셋을 이용하여 제안방법의 성능을 입증하였다.
여기서 제안한 방법은 신속하게 딥뉴럴네트워크가 오인식을 일으키는 샘플을 생성하기 위해 왜곡 loss function을 삭제하여 조건식을 1개로 줄였다. 제안한 목표함수 Fp 는 다음과 같다.
두 번째로 Jacobian-based Saliency map Attack (JSMA) 방법[14]으로 목표-적대적 샘플을 생성하며 여러 번의 반복 과정을 통하여 생성한다. 이 방법은 원본 샘플간의 왜곡을 최소화하기 위해서 적대적 샘플의 salie ncy value를 줄일 수 있는 요소를 찾는 방법을 적용한다. 하지만 이 방법은 생성하는 데 시간이 많이 걸리는 단점이 있다.
특히 distillation 방어시스템에 대해서도 100% 공격이 가능한 점이 있다. 이 연구에서는 Carlini method를 응용 및 개선하여 적용하였다. 또한 기존방법인 Carlini 방법과 비교 실험하였다.
이 연구에서 사용한 왜곡측정방법으로 L2을 적용하였으며, 이는 원본샘플간의 픽셀값의 차이의 제곱의 합의 루트값을 의미한다. 이 연구에서는 p값이 2인 L2 방식을 이용하여 원본샘플과 제안샘플의 왜곡을 측정하였다.
따라서 상대적으로 비목표-적대적 샘플이 생성하기가 쉽고 빠른 장점을 가진다. 이 연구에서는 목표-적대적 샘플과 비목표-적대적 샘플에 대한 2가지 모두에 대하여 공격성공률과 반복횟수를 기존방법과 비교분석을 하였다.
이 논문에서는 딥뉴럴네트워크가 오작동하는 것에 우선순위를 둔 신속한 오인식 샘플 생성 공격(fast misclassification sample)을 제안한다. 제안 방법은 원본 샘플에 대한 왜곡에 대한 고려없이 신속하게 딥뉴럴네트워크가 오인식이 되는 최적화된 noise를 생성하여 오인식 샘플을 생성한다. 따라서 이 논문에서 제안하는 방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다.
이 논문에서는 딥뉴럴네트워크를 오인식하는데 보다 적은 반복횟수로 공격하는 방법을 제안하였다. 제안한 방법은 원본 샘플간의 왜곡성을 가중치를 제거하고 딥뉴럴네트워크를 오인식하는 fast misclassification sample을 생성한다. 제안방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다.
1로 설정하였다. 테스트 데이터를 이용하여 임의의 1000개의 제안한 오인식 샘플을 생성하여 공격성공률과 반복횟수 등에 대하여 분석을 하였다.
연구진[9]에 의해서 처음으로 제시하였다. 특히, 제시한 취약점 중 exploratory attack인 적대적 샘플에 대하여 언급하였다. 적대적 샘플은 원본 샘플에 최소한의 왜곡을 추가하여 오인식을 일으키는 방법이다.
대상 데이터
공격의 대상이 되는 딥뉴럴네트워크는 MNIST와 CIFAR10의 경우에 합성곱 딥뉴럴네트워크(Convolutional neural network)[23]로 구성하였다. 이에 대한 아키텍처와 파라미터는 표1과 표2와 같이 구성되어 있다.
데이터셋은 MNIST[7]와 CIFAR10[8]을 사용하였다. MNIST은 대표적인 손글씨 이미지셋으로 0부터 9까지의 이미지로 구성되어 있다.
제안방법에 대한 시스템 구성은 그림 1과 같이 목표딥뉴럴네트워크(목표모델)과 생성모듈로 구성되어 있다.
제안한 샘플을 생성하기 위한 실험환경으로 T ensorflow 머신러닝 라이브러리[22]를 사용하였으며, 서버는 Intel(R) Core(TM) i3-7100 CPU @ 3.90GHz와 GPU는 GeForce GTX 1050을 사용하였다.
데이터처리
이 연구에서는 Carlini method를 응용 및 개선하여 적용하였다. 또한 기존방법인 Carlini 방법과 비교 실험하였다. 이에 대한 자세한 내용은 4장과 5장에서 설명하였다.
또한, 제안한 샘플 공격에 대한 이미지에 대해서 목표공격과 비목표공격에 대해서도 분석을 하였다. 마지막으로 제안방법의 성능을 보이기 위해서 MNIST[7]와 CIFAR10[8] 데이터셋을 이용하여 제안방법의 성능을 입증하였다.
이론/모형
4.3 제안한 오인식 샘플 생성
생성모듈의 경우에 제안한 오인식 샘플을 생성하기 위해서, 최적화 알고리즘인 Adam 알고리즘을 사용하였다. MNIST의 경우, 학습률은 0.
성능/효과
제안 방법은 원본 샘플에 대한 왜곡에 대한 고려없이 신속하게 딥뉴럴네트워크가 오인식이 되는 최적화된 noise를 생성하여 오인식 샘플을 생성한다. 따라서 이 논문에서 제안하는 방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다. 이에 대해서 본 논문에서는 제안방법에 대한 시스템적인 구성과 최적화된 noise을 생성하여 제안샘플의 생성과정 원리에 대해서 설명을 하였다.
생성측면에서, 제안방법은 실시간적으로 적대적 샘플 공격이 필요할 때 유용할 수 있다. 예를 들어, 군사적인 상황에서 적군 딥뉴럴네트워크가 오인식하도록 신속하게 오인식 샘플 생성이 필요한 경우, 제안방법을 이용하게 되면 기존방법에 비해서 50% 이상 적은 반복횟수로도 생성 및 공격이 가능한 장점이 있다.
제안방법은 기존방법과 달리 별도의 원본 샘플에 대한 왜곡을 고려하지 않기 때문에 기존방법보다 생성속도가 빠른 장점이 있다. 실험결과에서, 제안방법은 기존 Carlini 방법보다 MNIST의 경우는 목표-적대적 샘플과 비목표-적대적 샘플에 대해서 각각 50%, 50% 감소된 반복횟수로 생성이 가능하고, CIFAR10의 경우에 목표-적대적 샘플과 비목표-적대적 샘플에 대해서 각각 80%, 88% 감소된 반복횟수로 신속히 생성이 되며, 공격성공률은 모두 100%가 되는 것을 볼 수 있었다. 특히, 컬러이미지의 경우에 사람의 인식률도 거의 유지되는 것을 볼 수있었다.
왜곡 측면에서, 제안방법은 기존방법에 비해서 다소 왜곡이 증가하는 것을 볼 수 있었다. 왜냐하면 원본 샘플의 왜곡을 고려하지 않고 오인식에 중점을 두었기 때문이다.
반면에 비목표-적대적 샘플은 임의의 잘못된 class로 오인식 하는 방법이기 때문에 적은 왜곡으로도 생성이 가능하다. 제안방법은 목표-적대적 샘플과 비목표-적대적 샘플 두가지 경우에 기존방법에 비해서 적은 반복횟수로 100% 공격성공률을 가지는 것을 볼 수 있었다.
표 3은 임의의 1000개 샘플에 대하여 제안방법과 기존방법에서 필요한 반복횟수, 공격성공률, 왜곡평균을 보여준다. 표에서 보면 제안방법은 기존 Carlini 방법과 비교하여 100% 성공률을 유지하면서 동시에 상대적으로 적은 반복횟수로 가능한 것을 볼 수 있었다.
후속연구
특히, 실시간 딥뉴럴네트워크가 이용되는 자율주행차량 등에 대하여, 적은 반복횟수로 신속하게 적대적 샘플을 생성하기 때문에 실시간적으로 딥뉴럴네트워크가 장착된 자율주행차량을 공격할 때 장점이 있다. 또한, 향후 연구로 제안방법은 이미지 뿐만 아니라 음성, 비디오 등의 데이터 연구로 확장이 가능하며, 제안방법에 대하여 딥뉴럴네트워크를 강건하게 만들거나 데이터를 조작하여 방어하는 방법에 대해서도 흥미로운 주제가 될 것이다.
반면에 데이터를 조작하는 것은 적대적 샘플에 있는 noise를 제거하는 filtering 방법[26][27] 등을 이용하여 적대적 샘플의 공격효과를 줄이는 방법들이 있다. 이러한 기존 방어방법을 응용하여 제안방법의 방어연구도 흥미로운 주제가 될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
적대적 샘플은 무엇인가?
그러나 딥뉴럴네트워크는 적대적 샘플(Adversarial example)에 취약점이 있다. 적대적 샘플은 원본 샘플에 최소한의 noise를 넣어서 딥뉴럴네트워크가 잘못 인식하게 하는 샘플이다. 그러나 이러한 적대적 샘플은 원본 샘플간의 최소한의 noise을 주면서 동시에 딥뉴럴네트워크가 잘못 인식하도록 하는 샘플을 생성하는 데 시간이 많이 걸린다는 단점이 있다.
딥뉴럴네트워크 모델은 어느 영역에서 좋은 성능을 보여주고 있는가?
최근 딥뉴럴네트워크 모델[1]은 이미지 분류[2], 얼굴 인식 분야[3], 음성 인식 분야[4] 등 다양한 영역에서 좋은 성능을 보여주고 있다. 그러나 딥뉴럴네트워크에 대한 취약점이 있다.
딥뉴럴네트워크의 취약점인 적대점 샘플은 어떤 단점이 있는 샘플인가?
적대적 샘플은 원본 샘플에 최소한의 noise를 넣어서 딥뉴럴네트워크가 잘못 인식하게 하는 샘플이다. 그러나 이러한 적대적 샘플은 원본 샘플간의 최소한의 noise을 주면서 동시에 딥뉴럴네트워크가 잘못 인식하도록 하는 샘플을 생성하는 데 시간이 많이 걸린다는 단점이 있다. 따라서 어떠한 경우에 최소한의 noise가 아니더라도 신속하게 딥뉴럴네트워크가 잘못 인식하도록 하는 공격이 필요할 수 있다.
참고문헌 (27)
J. Schmidhuber, ''Deep learning in neural networks: An overview,'' Neural Netw., vol. 61, pp. 85-117, Jan. 2015.
K. Simonyan and A. Zisserman, ''Very deep convolutional networks for large-scale image recognition,'' in Proc. 3rd Int. Conf. Learn. Represent. (ICLR), San Diego, CA, USA, May 2015. [Online]. Available: http://arxiv.org/abs/1409.1556
Sun, Xudong, Pengcheng Wu, and Steven CH Hoi. "Face detection using deep learning: An improved faster RCNN approach." Neurocomputing 299 (2018): 42-50.
G. Hinton, L. Deng, D. Yu, G. E. Dahl, A.-R. M. N. Jaitly, A. Senior, V. Vanhoucke, P. Nguyen, T. N. Sainath, and B. Kingsbury, ''Deep neural networks for acoustic modeling in speech recognition: The shared views of four research groups,'' IEEE Signal Process. Mag., vol. 29, no. 6, pp. 82-97, Nov. 2012.
C. Szegedy,W. Zaremba, I. Sutskever, J. Bruna, D. Erhan, I. J. Goodfellow, and R. Fergus, ''Intriguing properties of neural networks,'' in Proc. 2nd Int. Conf. Learn. Represent. (ICLR), Banff, AB, Canada, Apr. 2014.
N. Carlini and D. Wagner, ''Towards evaluating the robustness of neural networks,'' in Proc. IEEE Symp. Secur. Privacy (SP), May 2017, pp. 39-57.
Y. LeCun, C. Cortes, and C. J. Burges. (2010). Mnist Handwritten Digit Database. AT&T Labs. [Online]. Available: http://yann.lecun.com/exdb/mnist
A. Krizhevsky, V. Nair, and G. Hinton. (2014). The Cifar-10 Dataset. http://www.cs.toronto.ed/kriz/cifar.html
Barreno M, Nelson B, Joseph AD, Tygar J. The security of machine learning. Mach Learn 2010; 81(2):121-48.
S.-M. Moosavi-Dezfooli, A. Fawzi, and P. Frossard, ''DeepFool: A simple and accurate method to fool deep neural networks,'' in Proc. IEEE Conf. Comput. Vis. Pattern Recognit., Jun. 2016, pp. 2574-2582.
Y. Liu, X. Chen, C. Liu, and D. Song, ''Delving into transferable adversarial examples and black-box attacks,'' in Proc. 5th Int. Conf. Learn. Represent. (ICLR), Toulon, France, Apr. 2017.
Kwon, Hyun, et al. "Advanced ensemble adversarial example on unknown deep neural network classifiers." IEICE TRANSACTIONS on Information and Systems 101.10 (2018):2485-2500.
A. Kurakin, I. J. Goodfellow, and S. Bengio, ''Adversarial examples in the physical world,'' in Proc. 5th Int. Conf. Learn. Represent. (ICLR), Toulon, France, Apr. 2017.
N. Papernot, P. McDaniel, S. Jha, M. Fredrikson, Z. B. Celik, and A. Swami, ''The limitations of deep learning in adversarial settings,'' in Proc. IEEE Eur. Symp. Secur. Privacy (EuroS&P), Mar. 2016, pp. 372-387.
Kwon, Hyun, et al. "Friend-safe evasion attack: An adversarial example that is correctly recognized by a friendly classifier." Computers & Security 78 (2018): 380-397.
Kwon, Hyun, et al, "Selective Audio Adversarial Example in Evasion Attack on Speech Recognition System ", IEEE Transactions on Information Forensics & Security, 2019. DOI:10.1109/TIFS.2019.2925452
Kwon, Hyun, et al. "Multi-targeted adversarial example in evasion attack on deep neural network." IEEE Access 6 (2018): 46084-46096.
Kwon, Hyun, et al. "Selective Untargeted Evasion Attack: An Adversarial Example That Will Not Be Classified as Certain Avoided Classes." IEEE Access 7 (2019):73493-73503.
Su, Jiawei, Danilo Vasconcellos Vargas, and Kouichi Sakurai. "One pixel attack for fooling deep neural networks." IEEE Transactions on Evolutionary Computation (2019).
Kwon, Hyun, Hyunsoo Yoon, and Daeseon Choi. "Restricted Evasion Attack: Generation of Restricted-Area Adversarial Example." IEEE Access 7 (2019): 60908-60919.
M. Abadi, P. Barham, J. Chen, Z. Chen, A. Davis, J. Dean, M. Devin, S. Ghemawat, G. Irving, and M. Isard, ''TensorFlow: A system for largescale machine learning,'' in Proc. OSDI, vol. 16, 2016, pp. 265-283
Y. LeCun, L. Bottou, Y. Bengio, and P. Haffner, ''Gradient-based learning applied to document recognition,'' Proc. IEEE, vol. 86, no. 11, pp. 2278-2324, Nov. 1998.
I. Goodfellow, J. Shlens, and C. Szegedy, "Expl aining and harnessing adver sarial examples," in International Conference on Learning Repres entations, 2015.
N. Papernot, P. McDaniel, X. Wu, S. Jha, and A. Swami, "Distillation as a defense to advers arial perturbations against deep neural networks," in Security and Privacy (SP), 2016 IEEE Symposium on, pp. 582-597, IEEE, 2016.
A. Fawzi, O. Fawzi, and P. Frossard, "Analysi s of classifiers' robustness to aversarial pertur bations," Machine Learning, pp. 1-28, 2015.
Jin, Guoqing, et al. "APE-GAN: Adversarial pe rturbation elimination with GAN." ICASSP 20 19-2019 IEEE International Conference on Aco ustics, Speech and Signal Processing (ICASS P). IEEE, 2019.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.