Результаты исследования опубликованы в журнале Intelligent Computing, a Science Partner Journal.

Исследование показало, что модели долговременной кратковременной памяти конволюционных нейронных сетей легко обмануть. Специально созданные «возмущённые» входные данные заставляют модель делать ошибочные предсказания.

Все рассмотренные атаки значительно снижают точность распознавания эмоций. Авторы считают, что эта проблема может иметь серьёзные последствия.

Исследователи предложили методику обработки аудиоданных и извлечения признаков, адаптированную к архитектуре конволюционной нейронной сети с долговременной памятью. Они рассмотрели три набора данных: EmoDB для немецкого языка, EMOVO для итальянского и RAVDESS для английского. Они использовали метод быстрого градиентного знака, базовый итеративный метод, DeepFool, атаку на основе якобиана карты салидности и метод Карлини и Вагнера для атак «белого ящика» и атаки по одному пикселю и атаки по границам для сценариев „черного ящика“.

Атаки «чёрного ящика», особенно Boundary Attack, эффективны, несмотря на ограниченный доступ к внутренним механизмам моделей. Хотя у атак „белого ящика“ таких ограничений не было, атаки „чёрного ящика“ иногда превосходили их по эффективности.

Авторы исследования обеспокоены тем, что злоумышленники могут достичь хороших результатов без понимания внутренней работы модели, просто анализируя её выходные данные.

В исследовании рассматривали, как атаки по-разному влияют на мужскую и женскую речь, а также на речь на разных языках.

Оказалось, что английский язык наиболее восприимчив к атакам, а итальянский — наиболее устойчив.

Мужские образцы показали себя немного лучше женских, особенно в сценариях атак «белого ящика». Но разница между ними незначительна.

Мы создали конвейер для стандартизации образцов на трёх языках и извлечения спектрограмм лог-мела.

Для этого мы расширили наборы данных с помощью методов сдвига высоты тона и растягивания времени, сохранив максимальную длительность образца — 3 секунды, — пояснили авторы.

Во всех экспериментах команда использовала одну и ту же архитектуру конволюционной нейронной сети с долговременной кратковременной памятью, чтобы обеспечить методологическую последовательность.

Публикации об уязвимостях в моделях распознавания эмоций в речи могут быть полезны для злоумышленников. Но ещё хуже, если эта информация не будет распространена.

Прозрачность исследований позволит понять слабые места систем как злоумышленникам, так и специалистам по безопасности. Огласка уязвимостей поможет исследователям и практикам лучше подготовиться и укрепить свои системы защиты. Это в конечном итоге повысит безопасность технологий.