論文の概要、ライセンス

# (参考訳) 自動運転技術におけるブラックボックス攻撃 [全文訳有]

Black-box Adversarial Attacks in Autonomous Vehicle Technology ( http://arxiv.org/abs/2101.06092v1 )

ライセンス: CC BY 4.0
K Naveen Kumar, C Vishnu, Reshmi Mitra, C Krishna Mohan(参考訳) 現実世界のアプリケーションにおけるディープニューラルネットワークの性能は高いが、敵攻撃の小さな摂動の影響を受けやすい。 これは人間の視覚では検出できない。 このような攻撃の影響は、リアルタイムの「安全」を懸念する自動運転車にとって極めて有害なものとなっている。 ブラックボックスの逆襲は、道路標識や信号などの重要なシーンで、自動運転車が他の車両や歩行者に衝突する原因となった。 本稿では,トランスファーベース攻撃法におけるWhite-box Sourceの使用を克服するために,Modified Simple Black-box attack (M-SimBA) と呼ばれる新しいクエリベースの攻撃手法を提案する。 また、単純なブラックボックス攻撃(simba)における遅延収束の問題は、正しいクラスの損失を最大化しようとするのではなく、モデルが予測する最も誤ったクラスである最も混乱したクラスの損失を最小化することで解決される。 本稿では,ドイツ交通信号認識ベンチマーク(GTSRB)データセットに対する提案手法の性能評価を行う。 提案モデルは, 伝達型投影勾配降下(t-pgd), simbaといった既存モデルよりも収束時間, 混乱したクラス確率分布の平坦化, 真のクラスに対する信頼度の低い逆サンプルの生成に優れることを示した。

Despite the high quality performance of the deep neural network in real-world applications, they are susceptible to minor perturbations of adversarial attacks. This is mostly undetectable to human vision. The impact of such attacks has become extremely detrimental in autonomous vehicles with real-time "safety" concerns. The black-box adversarial attacks cause drastic misclassification in critical scene elements such as road signs and traffic lights leading the autonomous vehicle to crash into other vehicles or pedestrians. In this paper, we propose a novel query-based attack method called Modified Simple black-box attack (M-SimBA) to overcome the use of a white-box source in transfer based attack method. Also, the issue of late convergence in a Simple black-box attack (SimBA) is addressed by minimizing the loss of the most confused class which is the incorrect class predicted by the model with the highest probability, instead of trying to maximize the loss of the correct class. We evaluate the performance of the proposed approach to the German Traffic Sign Recognition Benchmark (GTSRB) dataset. We show that the proposed model outperforms the existing models like Transfer-based projected gradient descent (T-PGD), SimBA in terms of convergence time, flattening the distribution of confused class probability, and producing adversarial samples with least confidence on the true class.
公開日: Fri, 15 Jan 2021 13:18:18 GMT

※ 翻訳結果を表に示しています。PDFがオリジナルの論文です。翻訳結果のライセンスはCC BY-SA 4.0です。詳細はトップページをご参照ください。

翻訳結果

    Page: /      
英語(論文から抽出)日本語訳スコア
Black-box Adversarial Attacks in Autonomous Vehicle Technology 自動運転技術におけるブラックボックス攻撃 0.70
K. Naveen Kumar1, C. Vishnu1, Reshmi Mitra2, C. Krishna Mohan1 K. Naveen Kumar1, C. Vishnu1, Reshmi Mitra2, C. Krishna Mohan1 0.78
1 Indian Institute of Technology Hyderabad, India インド・ハイデラバード工科大学1校 0.59
2 Southeast Missouri State University, Cape Girardeau, USA アメリカ、ケープジラードにある南東ミズーリ州立大学2校 0.63
{cs19m20p000001, cs16m18p000001}@iith.ac.in, rmitra@semo.edu, ckm@cse.iith.ac.in cs19m20p000001, cs16m18p000001}@iith.ac.in, rmitra@semo.edu, ckm@cse.iith.ac.in 0.50
1 2 0 2 n a J 1 2 0 2 n a J 0.85
5 1 ] V C . 5 1 ] 略称はC。 0.73
s c [ 1 v 2 9 0 6 0 sc [ 1 v 2 9 0 6 0 0.68
. 1 0 1 2 : v i X r a . 1 0 1 2 : v i X r a 0.85
Abstract—Despite the high quality performance of the deep neural network in real-world applications, they are susceptible to minor perturbations of adversarial attacks. 抽象 — 現実世界のアプリケーションにおけるディープニューラルネットワークの性能は高いが、敵対的攻撃の小さな摂動の影響を受けやすい。 0.65
This is mostly undetectable to human vision. これは人間の視覚では検出できない。 0.65
The impact of such attacks has become extremely detrimental in autonomous vehicles with realtime “safety” concerns. このような攻撃の影響は、リアルタイムの“安全”を懸念する自動運転車にとって、極めて有害なものになっている。 0.53
The black-box adversarial attacks cause drastic misclassification in critical scene elements such as road signs and traffic lights leading the autonomous vehicle to crash into other vehicles or pedestrians. ブラックボックスの逆襲は、道路標識や信号などの重要なシーンで、自動運転車が他の車両や歩行者に衝突する原因となった。 0.67
In this paper, we propose a novel query-based attack method called Modified Simple blackbox attack (M-SimBA) to overcome the use of a white-box source in transfer based attack method. 本稿では,トランスファーベース攻撃法におけるWhite-box Sourceの使用を克服するために,Modified Simple Blackbox attack (M-SimBA) と呼ばれる新しいクエリベースの攻撃手法を提案する。
訳抜け防止モード: 本稿では,新しいクエリに基づく攻撃手法を提案する。 Modified Simple Blackbox attack (M - SimBA ) 転送ベースアタックメソッドにおけるホワイトボックスソースの使用を克服する。
0.85
Also, the issue of late convergence in a Simple black-box attack (SimBA) is addressed by minimizing the loss of the most confused class which is the incorrect class predicted by the model with the highest probability, instead of trying to maximize the loss of the correct class. また、単純なブラックボックス攻撃(simba)における遅延収束の問題は、正しいクラスの損失を最大化しようとするのではなく、モデルが予測する最も誤ったクラスである最も混乱したクラスの損失を最小化することで解決される。 0.77
We evaluate the performance of the proposed approach to the German Traffic Sign Recognition Benchmark (GTSRB) dataset. 本稿では,ドイツ交通信号認識ベンチマーク(GTSRB)データセットに対する提案手法の性能評価を行う。 0.81
We show that the proposed model outperforms the existing models like Transfer-based projected gradient descent (T-PGD), SimBA in terms of convergence time, flattening the distribution of confused class probability, and producing adversarial samples with least confidence on the true class. 提案モデルは, 伝達型投影勾配降下(t-pgd), simbaといった既存モデルよりも収束時間, 混乱したクラス確率分布の平坦化, 真のクラスに対する信頼度の低い逆サンプルの生成に優れることを示した。 0.85
Index Terms—adversarial attacks, black-box attacks, deep インデックス用語―敵攻撃、ブラックボックス攻撃、ディープ 0.67
learning methods, autonomous vehicles. 学習方法 自動運転車 0.49
I. INTRODUCTION Cybersecurity threats on Autonomous vehicles (AV) can cause serious safety and security issues as per the “Safety First” industry consortium paper [1] published by twelve industry leaders such as Audi, BMW, Volkswagen, among others. I 導入 audi、bmw、volkswagenなど12の業界リーダーが発行した“safety first”産業コンソーシアムの論文[1]によると、自動運転車に対するサイバーセキュリティの脅威は深刻な安全とセキュリティの問題を引き起こす可能性がある。 0.56
AV is made possible due to the control functions of connected vehicles, onboard diagnostics for maintenance, and cloud backend system. AVは、接続された車両の制御機能、メンテナンスのためのオンボード診断、クラウドバックエンドシステムによって実現されている。
訳抜け防止モード: AVが可能である 連結車両の制御機能により メンテナンスのための診断装置を搭載 そしてクラウドバックエンドシステム。
0.85
These capabilities also make it a rich and vulnerable attack surface for the adversary. これらの能力は、敵に対するリッチで脆弱な攻撃面にもなります。 0.60
Cyber-attacks on such systems can have dangerous effects leading to malicious actors gaining arbitrary control of the vehicle with such multiple entities managed simultaneously on the road. このようなシステムに対するサイバー攻撃は、悪質なアクターが道路上で同時に管理される複数のエンティティで車両を任意に制御することにつながる危険な効果をもたらす可能性がある。 0.57
These malicious actions can eventually cause life-threatening harm to pedestrians and prevent widespread adoption of AV. これらの悪意ある行動は、最終的には歩行者に生命を脅かす危険をもたらし、avの普及を防げる。
訳抜け防止モード: 悪質な行動は、歩行者に危害を及ぼす AVの広汎な普及を阻止する。
0.60
Cyber attacks often cause data corruption and intentional tampering by an unexpected source, which could be crucial elements in the training data for deep neural networks [2]. サイバー攻撃は、しばしばデータ破損と予期せぬソースによる意図的な改ざんを引き起こし、ディープニューラルネットワークのトレーニングデータにおいて重要な要素となるかもしれない[2]。 0.72
Although these models are popular for their accuracy and performance for computer vision tasks (such as classification, これらのモデルはコンピュータビジョンタスク(分類など)の精度と性能で人気がある。 0.73
978-1-7281-8243-8/20 /$31.00 ©2020 IEEE 978-1-7281-8243-8/20 /$31.00 ]2020 ieee 0.27
detection, and segmentation), they are known to be extremely vulnerable to adversarial attacks [3]. 検出とセグメンテーション) 敵の攻撃に対して非常に脆弱であることが知られている[3]。 0.74
In this type of attack, the adversary induces minor but systematic perturbations in key model layers such as filters and input datasets as shown in Fig 1. この種の攻撃では、fig 1.1に示すように、フィルタや入力データセットといったキーモデル層におけるマイナーだが体系的な摂動を引き起こす。 0.63
Even though this minor layer of noise is barely perceptible to human vision, it may cause drastic misclassification in critical scene elements such as road signs and traffic lights. この小さなノイズの層は人間の視覚にほとんど知覚できないが、道路標識や信号灯のような重要なシーンの要素に劇的な誤分類を引き起こす可能性がある。 0.66
This may eventually lead to AV crashing into other vehicles or pedestrians. これは最終的には他の車両や歩行者に衝突する可能性がある。 0.54
Stickers or paintings on the traffic signboards are the most common physical adversarial attacks, which can impact the functionality of the vehicular system. 交通標識に貼られたステッカーや絵は最も一般的な物理的敵攻撃であり、車体の機能に影響を与える可能性がある。
訳抜け防止モード: 交通標識に貼られたステッカーや絵は、最も一般的な物理的敵攻撃である。 車両システムの機能に影響を与えます
0.71
Fig. 1. Example of adversarial attack: minor perturbations introduced to the training data cause misclassification of a critical traffic sign i.e. フィギュア。 1. 敵攻撃の例:訓練データに導入された小さな摂動は、重要な交通標識の誤分類を引き起こす。 0.67
Yield instead of Stop sign. 停止記号の代わりに降伏する。 0.57
This incorrect prediction can be hardly perceptible to the human eye and thus have dangerous repercussions for autonomous vehicles. この誤った予測は人間の目にはほとんど知覚できないため、自動運転車に対する危険な影響がある。 0.64
Adversarial attacks are primarily of two types: (1) White-box where adversary customizes perturbations to the known deep neural network such as architecture, training data, parameter settings, and (2) Black-box where adversary has minimum to nil knowledge about the network. 敵の攻撃は主に、(1)敵がアーキテクチャ、トレーニングデータ、パラメータ設定などの既知のディープニューラルネットワークの摂動をカスタマイズするホワイトボックス、(2)敵がネットワークに関する知識をほとんど持たないブラックボックスの2種類である。 0.62
Although white-box attacks have been under study, they may not be realistic for AV technology, because of the many dynamic elements primarily related to sensor data. ホワイトボックス攻撃は研究されているが、主にセンサーデータに関連する多くの動的要素のため、AV技術では現実的ではないかもしれない。 0.73
Our state-of-art study has shown that there is very limited research on black-box adversarial attacks in the domain of AV. 最先端の研究により,av領域におけるブラックボックス攻撃に関する研究は極めて限定的であることが示されている。 0.60
Seminal research articles [3], [4] to report adversarial attack problems for images in neural networks observed image that an imperceptible non-random noise to a test can lead to serious misprediction problems, thereby questioning the model robustness. ニューラルネットワークにおける画像に対する敵対的攻撃問題を報告するためのセミナル研究論文[3],[4]では, テストに対する非ランダムノイズが重大な誤認の原因となり, モデルの堅牢性に疑問を呈する画像が観察された。 0.76
These white box examples were generated using box-constrained Limited-memory Broyden–Fletcher–Goldfarb–Shanno (L-BFGS) algorithm. これらの白い箱の例は、制限付き有限メモリブロイデン-フレッチャー-ゴールドファーブ-シャンノ (L-BFGS) アルゴリズムを用いて生成された。 0.45
It has remarkable transferability property and is illustrated across tasks with different architectures [5], [6]. それは顕著な転送可能性特性を持ち、異なるアーキテクチャ [5], [6] を持つタスク間で図示される。 0.72
The decision outputs 決定が出力する 0.84
英語(論文から抽出)日本語訳スコア
resulted from machine learning models of the sub-tasks in the computer vision domain, such as classification, detection, and segmentation, become sensitive to the adversarial perturbations in the input. その結果、コンピュータビジョン領域におけるサブタスクの機械学習モデル(分類、検出、セグメンテーションなど)は、入力中の逆摂動に敏感になる。 0.62
This is discussed in various prior works [7]–[10]. これは様々な先行研究[7]–[10]で議論されている。 0.80
Gradient estimation techniques such as Finite Differences (FD) and Natural Evolutionary Strategies (NES) are used in a black-box setting, because they are not directly accessible to the adversary. FD(Finite Differences)やNES(Natural Evolutionary Strategies)といった勾配推定技術は、敵に直接アクセスできないため、ブラックボックス設定で使用される。 0.66
The other significant technique uses surrogates [11], [12] to exploit the transferability of adversarial examples over models. もう一つの重要なテクニックは、[11],[12]を使って、モデル上の逆例の転送可能性を利用する。
訳抜け防止モード: もう一つの重要なテクニックは surrogates [11 ], [ 12 ] モデル上の敵の例の転送可能性を活用すること。
0.72
Although several papers have verified the transferability properties [13], the focus of our work is on the gradient estimation technique [14] because of the convenience of attack. いくつかの論文では伝達性特性[13]を検証しているが,攻撃の利便性から勾配推定手法[14]に焦点が当てられている。 0.81
This property transferability of adversarial attacks is investigated in [15] for dispersion reduction attack. 分散低減攻撃の[15]において, この特性伝達性について検討した。 0.67
It uses limited perturbations compared to the existing attacks and demonstrated its performance over different computer vision tasks (image classification, object detection, semantic segmentation). 既存の攻撃と比較して限られた摂動を使用し、異なるコンピュータビジョンタスク(画像分類、オブジェクト検出、セマンティックセグメンテーション)のパフォーマンスを示した。 0.76
The first work to generate adversarial examples for blackbox attacks in video recognition, V-BAD [16] framework utilizes tentative perturbations transferred from image models and partition-based rectifications to obtain good adversarial gradient estimates. V-BAD [16] フレームワークは,画像モデルから伝達される仮の摂動と分割に基づく補正を利用して,画像認識におけるブラックボックス攻撃の敵対的例を生成する。 0.79
They demonstrate an effective and efficient attack with a ∼90% success rate using fewer queries to the target model. ターゲットモデルへのクエリが少なく、90%の成功率で効果的で効率的な攻撃を示す。 0.76
More recently, the first article on adversarial examples for sign recognition systems in AV [17] has proposed two different attack methods: out-of-distribution and lenticular printing in black-box settings. より最近では、AV[17]における手話認識システムに対する敵意的な例に関する最初の記事が、ブラックボックス設定におけるアウト・オブ・ディストリビューションとレンズ印刷の2つの異なる攻撃方法を提案している。
訳抜け防止モード: 最近では、AV[17 ]における手話認識システムの対角的例に関する最初の記事が2つの異なる攻撃方法を提案している。 そしてブラックのレンチキュラー印刷 - ボックス設定。
0.60
Unlike the scored-based and transfer-based methods, the TRansferable EMbedding based Black-box Attack (TREMBA) method [18]. 得点ベースおよび転送ベースの方法とは異なり、転送可能な埋め込みベースのブラックボックスアタック(tremba)メソッド[18]。 0.62
Direted to an unknown target network, it learns a compact embedding with a pre-trained model and performs an efficient search over the embedding space. 未知のターゲットネットワークに割り振られ、事前学習されたモデルでコンパクトな埋め込みを学習し、埋め込み空間を効率的に探索する。 0.77
The adversarial perturbations by TREMBA have high-level semantics, which is effectively transferable. TREMBAによる対向摂動は高レベルの意味論を持ち、効果的に伝達可能である。 0.49
Further, these perturbations help in enhancing the query efficiency of the black-box adversarial attack across the architectures of different target networks. さらに、これらの摂動は、異なるターゲットネットワークのアーキテクチャにまたがるブラックボックス攻撃のクエリ効率を高めるのに役立つ。 0.71
The boundary attack is introduced as a category of the decision-based attack [19], which is relevant for the assessment of model robustness. 境界攻撃は,モデルロバスト性の評価に関連する決定に基づく攻撃 [19] のカテゴリとして導入される。 0.81
These are used to highlight the security risks of machine learning systems belonging to closed-source like autonomous cars. これらは、自動運転車のようなクローズドソースに属する機械学習システムのセキュリティリスクを強調するために使用される。 0.67
Boundary attacks usually require a large set of model queries for obtaining a successful human indistinguishable adversarial example. 境界攻撃は通常、人間の区別がつかない敵の例を得るのに大量のモデルクエリを必要とする。 0.58
To improve the efficiency of the boundary attack, it must be combined with a transfer-based attack. 境界攻撃の効率を向上させるためには、転送ベースの攻撃と組み合わせる必要がある。 0.76
The biased boundary attack [20], significantly reduces the number of model queries with the combination of low-frequency random noise and the gradient from a substitute model. バイアス境界攻撃[20]は、低周波ランダムノイズと置換モデルからの勾配の組み合わせにより、モデルのクエリ数を大幅に削減する。 0.75
Similar to other transfer-based attacks, a biased boundary attack depends on the transferability between the target model and the substitute model. 他の転送ベースアタックと同様に、バイアス境界アタックはターゲットモデルと代替モデルの間の転送可能性に依存する。 0.77
The boundary attack++ [21] is an algorithmic improvement of the boundary attack, which estimates the gradient direction with the help of binary information available at the decision boundary. 境界攻撃++[21]は、境界攻撃のアルゴリズムによる改善であり、決定境界で利用可能なバイナリ情報の助けを借りて勾配方向を推定する。 0.74
Another method [22] of decision-based attack, called qFool, used very few queries in the computation of adversarial examples. qFoolと呼ばれる別の方法[22]は、敵の例の計算に非常に少ないクエリを使用した。 0.72
The qFool method can handle both non-targeted and targeted attacks with less number of queries. qFoolメソッドは、クエリ数の少ない非ターゲット攻撃とターゲット攻撃の両方を処理できる。 0.74
A simple black-box adversarial attack, called SimBA [23] has emphasized that optimizing queries in black-box adversarial attacks continues to be an open problem. SimBA[23]と呼ばれる単純なブラックボックスの敵攻撃は、ブラックボックスの敵攻撃におけるクエリの最適化がオープンな問題であり続けていることを強調している。 0.56
This is happening even though there is a significant body of prior work [16], [18]. これは、[16], [18]という重要な先行作業があっても起こっています。 0.75
The algorithm in SimBA repeatedly picks a random direction from a pre-specified set of directions and uses continuousvalued confidence scores to perturb the input image by adding or subtracting the vector from the image. SimBAのアルゴリズムは、予め指定された方向集合からランダムな方向を繰り返し選択し、連続評価された信頼スコアを用いて、画像からベクトルを加算または減算することで入力画像を摂動させる。 0.68
We have extended their work by improving the efficiency and efficacy of the attack. 攻撃の効率と有効性を改善して作業を拡張しました。 0.75
Instead of maximizing the loss of the original class, our model searches for gradients in a direction that minimizes the loss of the “most confused class”. 元のクラスの損失を最大化する代わりに、我々のモデルは「最も混乱したクラス」の損失を最小限に抑える方向に勾配を求める。 0.76
The main objective of this research is to design black-box adversarial attacks for AV for exposing vulnerabilities in deep learning models. 本研究の主な目的は,深層学習モデルの脆弱性を明らかにするために,AVに対するブラックボックス攻撃を設計することである。
訳抜け防止モード: この研究の主な目的は ディープラーニングモデルの脆弱性を露呈するavのブラック-ボックス逆攻撃を設計する。
0.81
We propose a “multi-gradient” attack in deep neural networks model for traffic scene perception. 本稿では,トラフィックシーン知覚のためのディープニューラルネットワークモデルにおける"多段階"攻撃を提案する。 0.64
There are three main advantages of our model: fast convergence, flattens the confused class probability distribution, and produces adversarial samples with the least confidence in true class. このモデルの主な利点は3つある: 高速収束、混乱したクラス確率分布のフラット化、真のクラスに対する信頼度の低い逆のサンプルの生成。 0.79
In other words, the results demonstrate that our model is better at generating successful mis-predictions at a faster rate with a higher probability of failure. 言い換えれば、我々のモデルは失敗の確率が高い高速な速度で失敗予測を成功させるのに優れていることが示される。 0.72
Our work in building such models will serve two primary scientific communities. このようなモデルを構築する作業は、2つの主要な科学コミュニティに役立ちます。 0.58
First, it contributes towards the safety and security of the primary users i.e. 第一に、プライマリユーザーの安全とセキュリティに貢献する。 0.62
passengers and pedestrians. Second, it helps AI researchers in developing robust and reliable models. 乗客と歩行者。 第二に、AI研究者が堅牢で信頼性の高いモデルを開発するのを助ける。 0.66
The main contributions of this work are: • A novel multi-gradient model for designing a black-box adversarial attack on traffic sign images by minimizing the loss of the most confused class. この研究の主な貢献は、 • 最も混乱したクラスを最小化することにより、交通標識画像に対するブラックボックス攻撃を設計するための新しい多段階モデル。 0.81
• Result validation by comparison with transfer-based projected gradient descent (T-PGD) and simple black-box attack (SimBA) using German Traffic Sign Recognition Benchmark (GTSRB) dataset •ドイツ交通信号認識ベンチマーク(GTSRB)データセットを用いた転送ベース予測勾配降下(T-PGD)と簡易ブラックボックス攻撃(SimBA)との比較による評価 0.79
• Our model outperforms on three metrics: iterations for convergence, class probability distribution, and confidence values on input class. • モデルでは, 収束の反復, クラス確率分布, 入力クラスの信頼値の3つの指標より優れる。 0.81
The paper is organized as follows. 論文は以下の通り整理される。 0.65
In Section II, we describe the proposed architecture of black-box adversarial attacks. 第2節では,ブラックボックス攻撃のアーキテクチャについて述べる。 0.68
Section III contains discussions on the performance of the proposed method on the GTSRB dataset along with quantitative and qualitative analysis. 第3節では,GTSRBデータセットにおける提案手法の性能と定量的,定性的な分析について論じている。 0.62
The conclusions are presented and future work in Section IV. 結論は、第4節で示され、今後の作業である。 0.44
II. PROPOSED METHOD In this section, we are presenting the proposed method for black-box adversarial attacks in AV. II。 提案方法 本稿では,AVにおけるブラックボックス攻撃の方法を提案する。 0.64
As shown in Fig 2, there are three main modules: (a) input module to sense/detect the traffic signs through the camera attached to the autonomous vehicle (b) multi gradient attack module, and (c) adversarial sample estimator that implements the target attack. 図2に示すように、(a) 自律走行車(b) 多重勾配攻撃モジュールに取り付けられたカメラを介して交通標識を検知・検出する入力モジュールと、(c) 目標攻撃を実装する対向サンプル推定器の3つの主要モジュールがある。 0.82
The gradient perturbations can be generated from one of the three methods: Transfer based projected gradient descent (TPGD), a Simple Black box attack (SimBA), and Modified Simple 勾配摂動は、転送ベース射影勾配降下(TPGD)、単純なブラックボックス攻撃(SimBA)、修正されたシンプルの3つの方法の1つから生成される。 0.79
英語(論文から抽出)日本語訳スコア
black-box attack (M-SimBA). ブラックボックス攻撃 (M-SimBA)。 0.71
A detailed explanation of this key attack module is given in the subsequent sections. この攻撃モジュールの詳細な説明は、後続のセクションで述べられている。 0.67
A. Transfer based Projected Gradient Descent (T-PGD) A。 T-PGD(Transfer Based Projected Gradient Descent) 0.82
In this white-box attack, the source CNN architecture is trained for a similar task. このホワイトボックス攻撃では、ソースCNNアーキテクチャは同様のタスクのために訓練される。 0.67
The gradients from this model are used to produce an adversarial sample which is then transferred to attack the target. このモデルからの勾配は、敵のサンプルを生成し、ターゲットを攻撃するために転送される。 0.76
Gradients updates are performed in the direction which maximizes the classification loss as per equation (1), where x, Advx are original and adversarial sample, respectively. 勾配更新は、x と Advx をそれぞれ原サンプルとし、各方程式(1) の分類損失を最大化する方向に行われる。
訳抜け防止モード: 勾配更新は、方程式 (1) に従って分類損失を最大化する方向に行われる。 x と advx はそれぞれ原文と逆文のサンプルである。
0.75
The term  is the step size that decides the magnitude of the update. という用語は、更新の規模を決定するステップサイズである。 0.73
The gradient of the loss function is denoted by ∇xJ and weights corresponding to the CNN is shown as θ. 損失関数の勾配は yxJ で表され、CNN に対応する重みは θ として表される。 0.71
The output label is shown y. 出力ラベルはyを示す。 0.66
Advx = x +  ∗ sign(∇xJ (θ, x, y)). Advx = x + y ∗ sign(xJ (θ, x, y))。 0.80
(1) Iterative gradient updates are performed until the loss converges to a higher value. (1) 損失がより高い値に収束するまで、反復的な勾配更新を行う。 0.77
This treatment makes the adversarial image to deviate from the original image, making it unperceivable to humans. この治療により、敵像は元の画像から逸脱し、人間には知覚できない。 0.67
Although T-PGD shows good generalization ability for samples generated on white box source model to be transferred to the black box model, it is limited by the need for the white box source model. t-pgdは、ホワイトボックスソースモデルで生成されたサンプルをブラックボックスモデルに転送するための優れた一般化能力を示すが、ホワイトボックスソースモデルの必要性によって制限される。 0.74
B. Simple Black-box Attack (SimBA) B。 簡易ブラックボックス攻撃(SimBA) 0.80
This query-based attack does not require any additional white-box model unlike T-PGD to create the adversarial samples. このクエリベースの攻撃は、敵のサンプルを作成するためにT-PGDとは異なり、追加のホワイトボックスモデルを必要としない。 0.49
It has no knowledge of the model and its architecture. モデルとそのアーキテクチャに関する知識はない。 0.63
Hence, the model parameters such as weights and biases are not known to calculate the gradient concerning the input image as done in previous transfer-based attacks. したがって、重みやバイアスなどのモデルパラメータは、前回の転送ベース攻撃で行われた入力画像に関する勾配を計算することができない。 0.70
The SimBA attack uses only the confidence or output probabilities of a black box CNN model to produce adversarial samples. SimBA攻撃は、ブラックボックスCNNモデルの信頼性または出力確率のみを使用して、敵のサンプルを生成する。
訳抜け防止モード: SimBA攻撃はブラックボックスCNNモデルの信頼性または出力確率のみを使用する 敵のサンプルを作ります
0.83
It tries to search in various directions so that updating the input pixels in that direction maximizes the loss of the correct class. 入力ピクセルをその方向に更新することで正しいクラスの損失を最大化するために、様々な方向を探索しようとする。 0.76
This reduces the overall confidence of the network. これによりネットワーク全体の信頼性が低下する。 0.75
For any given direction q and step size , one of the gradient term (x + q) or (x − q) is likely to decrease P (y|x). 任意の方向 q とステップサイズ y に対して、勾配項 (x + q ) または (x − q ) の1つは P (y|x) を減少させる。 0.83
To minimize the number of queries to the model, +q term is added. モデルに対するクエリ数を最小化するために、+q 項が追加される。 0.72
In case, this decreases the probability P (y|x), then a step is taken in this direction. この場合、これは確率 P (y|x) を減少させ、この方向に一歩進む。 0.80
Otherwise, the opposite of −q is considered. さもなくば −q の逆を考える。 0.57
Although it is a simple method to be used to attack any unknown architecture, it requires an extensive gradient search which consumes a large number of iterations to converge. 未知のアーキテクチャを攻撃するための単純な方法であるが、収束するために大量のイテレーションを消費する広範囲な勾配探索が必要である。 0.70
C. Modified simple black-box attack (M-SimBA) C. シンプルなブラックボックス攻撃(M-SimBA) 0.68
To avoid the use of white-box source model of T-PGD attack and late convergence problems of SimBA attack, we are proposing a novel method by modifying the Simple Black box attack to call it M-SimBA. 我々は,T-PGD攻撃のホワイトボックス源モデルやSimBA攻撃の遅延収束問題を避けるため,M-SimBAと呼ぶ単純なブラックボックス攻撃を修正して新しい手法を提案する。 0.84
This is shown in Fig 3. Instead of maximizing the loss of the original class in SimBA model, we are minimizing the loss of the most confused class. 図3に示す。 SimBAモデルにおける元のクラスの損失を最大化する代わりに、最も混乱したクラスの損失を最小化する。 0.65
It is the incorrect class where the model misclassifies with the highest probability. これはモデルが最も高い確率で誤分類する誤ったクラスである。 0.82
As shown in Fig 4, firstly probability of the original model class is checked before the attack. 図4に示すように、最初のモデルクラスの確率は攻撃前にチェックされる。 0.79
In the next step, random gradients are initialized and are added to the input sample. 次のステップでは、ランダム勾配が初期化され、入力サンプルに追加される。 0.76
Subsequently, the black-box model probability is calculated in the most confused class. その後、ブラックボックスモデル確率は最も混乱したクラスで計算される。 0.71
Initially, a positive update is considered. 最初はポジティブなアップデートが検討されている。 0.62
In case, it fails to improve the probability of a most confused class, a negative gradient update is performed. この場合、最も混乱したクラスの確率を改善することができず、負の勾配更新が行われる。 0.74
If both positive and negative gradient updates fail to improve the probability, a new gradient is randomly initialized and the process is repeated until convergence. 正の勾配更新と負の勾配更新の両方が確率を改善することができない場合、新しい勾配はランダムに初期化され、収束するまで繰り返される。
訳抜け防止モード: 正と負の両方の勾配更新が確率を改善できない場合。 新しい勾配はランダムに初期化されます プロセスは収束するまで繰り返されます
0.76
III. EXPERIMENTAL RESULTS In this section, we are presenting the details about the III。 実験結果 本節では、その詳細を述べる。 0.58
dataset, experimental setup and result discussions. データセット、実験的な設定、結果の議論。 0.64
A. Dataset We are evaluating the performance of the proposed method on the German Traffic Sign Recognition Benchmark (GTSRB) dataset [24]. A.データセット 我々は,ドイツのgtsrb(traffic sign recognition benchmark)データセット[24]における提案手法の性能評価を行っている。 0.70
It consists of 43 traffic sign classes, where 39000 are training images and 12000 are test images. 43の交通標識クラスで構成され、39000が訓練画像、12000がテスト画像である。 0.79
The images contain one traffic sign, a border of 10% around the actual traffic sign (at least 5 pixels) to allow for edge-based approaches. 画像には、エッジベースのアプローチを可能にするために、実際の交通標識(少なくとも5ピクセル)の周りに10%の国境がある。 0.66
It varies between (15 × 15) to (250 × 250) pixels and sample images are shown in Fig 5. (15 × 15) から (250 × 250) のピクセルで、サンプル画像はfig 5 で示される。
訳抜け防止モード: それは (15 × 15 ) から (250 × 250 ) ピクセルの間で変化する。 サンプル画像は図5に示されています。
0.79
B. Experimental Setup In this section, we are describing the initial setup for the three models to ensure their proper functioning without attack. B。 実験装置 本節では,攻撃を伴わない適切な動作を保証するため,この3モデルの初期設定について述べる。 0.74
To perform transfer based projected gradient descent (T-PGD) attack, a 2-layer customized white-box CNN architecture is designed which takes the input image of size (150x150). 転送型投影勾配降下(t-pgd)攻撃を行うため、2層カスタマイズされたホワイトボックスcnnアーキテクチャを設計し(150x150)。 0.64
The model classifies the original samples with 94% accuracy. モデルは元のサンプルを94%の精度で分類する。 0.81
It serves as a white-box source to generate adversarial samples in the T-PGD attack. t-pgd攻撃で敵のサンプルを生成するホワイトボックスのソースとして機能する。 0.60
To perform SimBA and M-SimBA attack methods, another 2-layer customized black-box CNN architecture with a larger number of max-pool and dropout layers compared to white-box CNN is designed. SimBAおよびM-SimBA攻撃法を実行するために、ホワイトボックスCNNと比較して、最大プール層とドロップアウト層の数が多い2層カスタマイズブラックボックスCNNアーキテクチャが設計されている。 0.61
It takes the input image of same size (150x150) to perform the attack. 同一サイズ(150x150)の入力画像を使って攻撃を行う。 0.75
It classifies the original samples with 96% accuracy. 元のサンプルを96%の精度で分類する。 0.80
C. Comparison results In this section, we are comparing the three attack methods based on their success rate. c.比較結果 本稿では,この3つの攻撃手法を,その成功率に基づいて比較する。 0.81
It is defined as a fraction of generated samples that are successfully misclassified by the black-box model. ブラックボックスモデルによって誤って分類された生成サンプルのごく一部として定義される。 0.69
As shown in Fig 6, the success rate increases with an increase in the number of iterations for all the three methods. 図6に示すように、成功率は、3つのメソッドのイテレーション数の増加とともに増加する。 0.74
This is an expected trend, gradient updates for adversarial sample become better with more processing time. これは予想される傾向であり、より多くの処理時間で対向サンプルの勾配更新が改善する。 0.68
The success rate of T-PGD does not increase much with an increase in iterations, since it does not rely on random searching and requires only a fixed number of iterations to generate the sample. T-PGDの成功率は、ランダム検索に頼らず、サンプルを生成するのに一定の回数の反復しか必要としないため、イテレーションの増加とともにそれほど増加しない。 0.77
One of the features of our proposed MSimBA attack model is that converges faster as compared to the other two methods. 提案したMSimBA攻撃モデルの特徴の1つは、他の2つの手法と比較してより高速に収束することである。 0.69
In the result shown in Fig 7, a common trend is observed that as  increases, the success rate decreases for all the three methods. 図7で示される結果から,3つの手法のすべてにおいて,成功率が減少する傾向が観察された。 0.75
This is expected behavior because, as we increase the step size, the value of the gradient update also increases. ステップサイズが大きくなるにつれて、勾配更新の値も増加するため、これは予想される振る舞いである。 0.69
For のために 0.51
英語(論文から抽出)日本語訳スコア
Fig. 2. Proposed method for black-box adversarial attacks in autonomous vehicle technology. フィギュア。 2. 自動運転車技術におけるブラックボックス攻撃法の提案 0.68
(a) an input module to sense/detect the traffic signs through the camera attached to the autonomous vehicle (b) multi gradient attack module to generate 3 different gradient perturbations from Transfer based projected gradient descent (T-PGD), Simple Black box attack (SimBA), Modified Simple black-box attack (M-SimBA), and (c) a classification module which attacks the target black-box model a)自動運転車(b)マルチグラデーションアタックモジュールに取り付けられたカメラを介して交通標識を感知・検出する入力モジュールであって、トランスファーベース投影勾配降下(t−pgd)、シンプルなブラックボックスアタック(simba)、修正された単純ブラックボックスアタック(m−simba)、および(c)ターゲットブラックボックスモデルを攻撃する分類モジュールから3つの異なる勾配摂動を生成する。 0.82
Fig. 3. Basic block diagram for Modified Simple Black-box Attack (MSimBA) フィギュア。 3. 修正単純ブラックボックス攻撃(msimba)の基本ブロック図 0.68
the large values of , there is a high probability of overshooting and missing the optimum value. 大きめの値 は、オーバーシューティングと最適値の欠落の確率が高い。 0.55
Due to this reason, the method may not converge and that can lead to a low success rate. このため、この方法は収束せず、成功率の低下につながる可能性がある。 0.65
On the other hand, T-PGD gives very good results for small values of , but becomes the poorest of the three methods for larger values of . 一方、T-PGD は小さい値の値に対して非常に良い結果を与えるが、より大きい値の値の3つの方法の中では最も貧しいものとなる。 0.65
This happens as T-PGD relies on gradient updates in a fixed direction and ends up reaching the optimum value in the neighborhood boundary quickly. これは、T-PGDが一定の方向の勾配の更新に頼り、すぐに近傍境界の最適値に達するためである。 0.72
In addition, SimBA and M-SimBA tend to outperform T-PGD and converge to the さらに、SimBAとM-SimBAはT-PGDより優れ、収束する傾向にある。 0.62
Fig. 4. Flowchart of Modified Simple Black-box Attack (M-SimBA) フィギュア。 4. 簡易ブラックボックス攻撃(M-SimBA)のフローチャート 0.69
same point at higher values of , but SimBA needs a higher number of iterations. しかし、SimBAはより多くの反復を必要とする。
訳抜け防止モード: より高次の値における同じ点ですが SimBAはもっと多くのイテレーションが必要です。
0.80
Finally, in Fig 8, it is observed that M-SimBA tends to show a higher success rate for the initial increase in the number of samples and continues to outperform other methods, because of its property of early convergence. 最後に、図8では、m-simbaは初期サンプル数の増加に対して高い成功率を示し、早期収束の性質から他の手法よりも優れ続けていることが観察される。 0.74
英語(論文から抽出)日本語訳スコア
Fig. 5. German Traffic Sign Recognition Benchmark (GTSRB) dataset フィギュア。 5. ドイツの交通信号認識ベンチマーク(GTSRB)データセット 0.70
Fig. 6. Comparison of three attacks on Iterations vs Success rate フィギュア。 6. 反復と成功率の3つの攻撃の比較 0.71
D. Qualitative analysis There are two main ideas for the qualitative analysis of the proposed black-box adversarial attacks on GTSRB dataset. D.定性解析 GTSRBデータセットに対するブラックボックス攻撃の質的分析には2つの主要な考え方がある。 0.81
Firstly, M-SimBA suppresses the confidence of the original class, which makes it a desirable feature for attack technique. まず、M-SimBAは元のクラスの信頼性を抑えるため、攻撃テクニックとして望ましい特徴である。 0.71
As shown in Fig 9, the true class of the sample is zero. 図9に示すように、サンプルの真のクラスはゼロである。 0.82
The T-PGD method leads to minimum distortion in the probability vector. T-PGD法は確率ベクトルの最小歪みをもたらす。 0.78
On the other hand, M-SimBA can attack the blackbox model with very low confidence in the input class with almost zero value. 一方、M-SimBAは、ほぼゼロの値の入力クラスに対する信頼度が非常に低いブラックボックスモデルを攻撃することができる。 0.72
Secondly, M-SimBA flattens the distribution of confused class probabilities compared to the other two attacks as shown in Fig 10. 第2に、M-SimBAは、図10に示すように、他の2つの攻撃と比較して、混乱したクラス確率の分布を平坦化させる。 0.52
This is a advantageous from attack perspective, because it provides a higher chance that the prediction model confuses with the other class. これは攻撃の観点からの利点であり、予測モデルが他のクラスと混同する確率が高いためである。 0.80
Fig. 7. Comparison of three attacks on Epsilon vs Success rate フィギュア。 7. エプシロンと成功率の3つの攻撃の比較 0.66
Fig. 8. Comparison of three attacks on Samples vs Success rate フィギュア。 8. サンプル対成功率に対する3つの攻撃の比較 0.70
IV. CONCLUSION Autonomous vehicles powered with deep neural networks for scene perception can be extremely vulnerable to adversarial attacks. IV。 結論 シーン知覚のためのディープニューラルネットワークを備えた自動運転車は、敵の攻撃に対して極めて脆弱である。 0.63
For the safety and security of pedestrians and passengers, it is crucial to understand the attacks for building robust models. 歩行者や乗客の安全と安全のためには、堅牢なモデルを構築するための攻撃を理解することが不可欠である。
訳抜け防止モード: 歩行者・乗客の安全と安全は不可欠である 堅牢なモデルを構築するための 攻撃を理解するためです
0.81
The main objective of our research is to demonstrate and evaluate the black-box adversarial attack for traffic sign detection for AV. 本研究の目的は,av用トラヒックサイン検出のためのブラックボックス攻撃を実証し,評価することである。 0.72
To achieve efficiency in the iterative process of reducing the number of queries searching the classifier, we focus on minimizing the loss of the most confused class. 分類器を検索するクエリの数を減らす反復的なプロセスにおいて,最も混乱したクラスの損失を最小限に抑えることに注力する。 0.81
We are comparing our model with two other algorithms SimBA and T-PGD using the GTSRB dataset. 我々は、GTSRBデータセットを用いて、我々のモデルを他の2つのアルゴリズムSimBAとT-PGDと比較している。 0.54
We are showing the efficiency and efficacy of our model with three different metrics namely: iterations for convergence, class probability distribution, and confidence values on input class. モデルの有効性と有効性は,3つの異なる指標,すなわち収束の反復,クラス確率分布,入力クラスに対する信頼値を示す。 0.74
In the future, this work can be extended to attacks in video context and different vehicle sensor data. 将来的には、この作業は、ビデオコンテキストと異なる車両センサーデータに対する攻撃にまで拡張できる。 0.78
Also, novel methods can be explored to design robust defense techniques to tackle these adversarial attacks. また、これらの敵攻撃に対処するための堅牢な防御技術を設計するための新しい手法も検討できる。 0.62
REFERENCES [1] M. Wood, first 参考 [1]M。 ウッド 最初は 0.62
“Safety Available: safety-first-for-automated-dr iving-aptiv-white-pa per.pdf 安全:安全第一の自動運転対応ホワイトペーパー 0.45
et al., [Online]. と、[オンライン]。 0.56
https://www.aptiv.co m/docs/default-sourc e/white-papers/ https://www.aptiv.co m/docs/default-sourc e/white-papers/ 0.22
Robbel, automated Robbel (複数形 Robbels) 0.35
D. driving,” D.ドライビング』。 0.63
Wittmann P. for 2019. ヴィットマン P. 2019. 0.67
[2] Y. Deng, X. Zheng, T. Zhang, C. Chen, G. Lou, and M. Kim, “An analysis of adversarial attacks and defenses on autonomous driving models,” arXiv preprint arXiv:2002.02175, 2020. [2] y. deng, x. zheng, t. zhang, c. chen, g. lou, m. kim, “自動運転モデルの敵対的攻撃と防御の分析” arxiv preprint arxiv:2002.02175, 2020。 0.77
[3] C. Szegedy, W. Zaremba, [3] c. szegedy, w. zaremba, 0.71
J. Bruna, D. Erhan, I. Goodfellow, and R. Fergus, “Intriguing properties of neural networks,” in International Conference on Learning Representations, 2014. J. Bruna, D. Erhan, I. Goodfellow, R. Fergus, “Intriguing properties of neural networks” in International Conference on Learning Representations, 2014. 0.89
[Online]. Available: http://arxiv.org/abs /1312.6199 [オンライン] http://arxiv.org/abs /1312.6199 0.54
I. Sutskever, I. Sutskever 0.78
[4] I. Goodfellow, J. Shlens, and C. Szegedy, “Explaining and harnessing adversarial examples,” in International Conference on Learning Representations, 2015. 4]i. goodfellow, j. shlens, c. szegedy, “explaining and harnessing adversarial examples” in international conference on learning representations, 2015
訳抜け防止モード: [4 ]I. Goodfellow, J. Shlens, C. Szegedy 2015年度の国際学習表現会議において,「敵対的事例の解説と活用」を行った。
0.82
[Online]. Available: http://arxiv.org/abs /1412. [オンライン] 利用可能: http://arxiv.org/abs /1412。 0.56
6572 [5] Y. Liu, X. Chen, C. Liu, and D. Song, “Delving into transferable adversarial examples and black-box attacks,” arXiv preprint arXiv:1611.02770, 2016. 6572 Y. Liu, X. Chen, C. Liu, D. Song, “Delving into transferable adversarial examples and black-box attack” arXiv preprint arXiv:1611.02770, 2016 0.87
[6] C. Xie, J. Wang, Z. Zhang, Y. Zhou, L. Xie, and A. Yuille, “Adversarial examples for semantic segmentation and object detection,” in Proceedings of the IEEE International Conference on Computer Vision, 2017, pp. C. Xie, J. Wang, Z. Zhang, Y. Zhou, L. Xie, and A. Yuille, “Adversarial examples for semantic segmentation and object detection” in Proceedings of the IEEE International Conference on Computer Vision, 2017 pp. 0.84
1369–1378. 1369–1378. 0.71
[7] N. Carlini and D. Wagner, “Towards evaluating the robustness of neural networks,” in 2017 IEEE Symposium on Security and Privacy (SP), 2017, pp. 7] n. carlini氏とd. wagner氏は、2017年のieee symposium on security and privacy(sp)で、ニューラルネットワークのロバスト性の評価について述べている。
訳抜け防止モード: N. CarliniとD. Wagnerは、“ニューラルネットワークの堅牢性を評価する”。 2017年IEEE Symposium on Security and Privacy (SP)に参加。 2017年、p。
0.72
39–57. 39–57. 0.71
英語(論文から抽出)日本語訳スコア
Fig. 9. Visual Results on GTSRB - 1. フィギュア。 9. GTSRB - 1のビジュアル結果。 0.66
True class of the input image is 0. 入力画像の真のクラスは 0 である。 0.80
The T-PGD method produces the adversarial sample highest probability (red box on T-PGD plot) compared to the other two attacks. T-PGD法では,T-PGD法では,他の2つの攻撃と比較して高い確率(赤箱)が得られる。 0.74
M-SimBA (red box on M-SimBA plot) can attack the black-box model which outputs very low confidence in the input class i.e., 0. M-SimBA(M-SimBAプロット上の赤いボックス)は入力クラスの信頼性を非常に低く出力するブラックボックスモデルを攻撃することができる。 0.76
It is a desirable behavior of a robust attack method to suppress the confidence of the original class. これは、元のクラスの信頼性を抑えるための堅牢な攻撃方法の望ましい行動である。 0.78
[20] T. Brunner, F. Diehl, M. T. Le, and A. Knoll, “Guessing smart: Biased sampling for efficient black-box adversarial attacks,” in 2019 IEEE/CVF International Conference on Computer Vision (ICCV), 2019, pp. T.Brunner, F. Diehl, M. T. Le, A. Knoll, “Guessing smart: Biased sample for efficient black-box adversarial attack” in 2019 IEEE/CVF International Conference on Computer Vision (ICCV), 2019, pp. 0.86
4957– 4965. 4957– 4965. 0.94
[21] I. Rosenberg, A. Shabtai, Y. Elovici, and L. Rokach, “Query-efficient black-box attack against sequence-based malware classifiers,” arXiv preprint arXiv:1804.08778, 2018. I. Rosenberg, A. Shabtai, Y. Elovici, L. Rokach, “Query- efficient black-box attack against sequence-based malware classifications” arXiv preprint arXiv:1804.08778, 2018. 0.88
[22] Y. Liu, S. Moosavi-Dezfooli, and P. Frossard, “A geometry-inspired decision-based attack,” in 2019 IEEE/CVF International Conference on Computer Vision (ICCV), 2019, pp. Y. Liu, S. Moosavi-Dezfooli, P. Frossard, “A geometry-inspired decision-based attack” in 2019 IEEE/CVF International Conference on Computer Vision (ICCV), 2019, pp. 0.93
4889–4897. 4889–4897. 0.71
[23] C. Guo, J. Gardner, Y. [23] C. Guo, J. Gardner, Y。 0.95
You, A. G. Wilson, and K. Weinberger, “Simple black-box adversarial attacks,” ser. あなたは、A.G. WilsonとK. Weinberger, “Simple black-box adversarial attack”だ。 0.88
Proceedings of Machine Learning Research, K. Chaudhuri and R. Salakhutdinov, Eds., vol. 機械学習研究の成果 K. Chaudhuri と R. Salakhutdinov, Eds., vol. 0.83
97. Long Beach, California, USA: PMLR, 09–15 Jun 2019, pp. 97. カリフォルニア州ロングビーチ, アメリカ:PMLR, 09-15 Jun 2019, pp. 0.86
2484–2493. 2484–2493. 0.71
[Online]. Available: http://proceedings.m lr.press/v97/guo19a. html [オンライン] 利用可能: http://proceedings.m lr.press/v97/guo19a. html 0.48
[24] J. Stallkamp, M. Schlipsing, J. Salmen, and C. Igel, “The German Traffic Sign Recognition Benchmark: A multi-class classification competition,” in IEEE International Joint Conference on Neural Networks, 2011, pp. 24] j. stallkamp, m. schlipsing, j. salmen, c. igel, “the german traffic sign recognition benchmark: a multi-class classification competition” in ieee international joint conference on neural networks, 2011, pp. (英語) 0.84
1453–1460. 1453–1460. 0.71
[8] C. Szegedy, W. Zaremba, [8]C.Szegedy, W. Zaremba, 0.87
J. Bruna, D. Erhan, I. Goodfellow, and R. Fergus, “Intriguing properties of neural networks,” in International Conference on Learning Representations, 2014. J. Bruna, D. Erhan, I. Goodfellow, R. Fergus, “Intriguing properties of neural networks” in International Conference on Learning Representations, 2014. 0.89
[Online]. Available: http://arxiv.org/abs /1312.6199 [オンライン] http://arxiv.org/abs /1312.6199 0.54
I. Sutskever, I. Sutskever 0.78
[9] M. Cisse, Y. Adi, N. Neverova, and J. Keshet, “Houdini: Fooling deep 9]M. Cisse, Y. Adi, N. Neverova, J. Keshet, “Houdini: Fooling Deep” 0.91
structured prediction models,” 07 2017. 構造化予測モデル”, 2017年7月7日閲覧。 0.55
[10] C. Xie, J. Wang, Z. Zhang, Y. Zhou, L. Xie, and A. Yuille, “Adversarial examples for semantic segmentation and object detection,” in 2017 IEEE International Conference on Computer Vision (ICCV), 2017, pp. C. Xie, J. Wang, Z. Zhang, Y. Zhou, L. Xie, and A. Yuille, “Adversarial examples for semantic segmentation and object detection” in 2017 IEEE International Conference on Computer Vision (ICCV) 2017 pp. 2017年9月1日閲覧。 0.91
1378– 1387. 1378– 1387. 0.94
[11] N. Papernot, P. McDaniel, and I. Goodfellow, “Transferability in machine learning: from phenomena to black-box attacks using adversarial samples,” arXiv preprint arXiv:1605.07277, 2016. N. Papernot, P. McDaniel, I. Goodfellow, “Transferability in machine learning: from phenomena to black-box attack using adversarial sample”. arXiv preprint arXiv:1605.07277, 2016. 0.93
[12] S.-M. Moosavi-Dezfooli and O. F. Alhussein Fawzi, “Pascal frossard.”,” in Universal adversarial perturbations.” 2017 IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2017. 12] s.-m. moosavi-dezfooli and o. f. alhussein fawzi, “pascal frossard.” in universal adversarial perturbations.” 2017 ieee conference on computer vision and pattern recognition (cvpr) 2017 0.80
[13] A. Madry, A. Makelov, L. Schmidt, D. Tsipras, and A. Vladu, “Towards deep learning models resistant to adversarial attacks,” arXiv preprint arXiv:1706.06083, 2017. A. Madry, A. Makelov, L. Schmidt, D. Tsipras, A. Vladu, “Towards Deep Learning models resistant to adversarial attack” arXiv preprint arXiv:1706.06083, 2017 0.87
[14] P.-Y. Chen, H. Zhang, Y. Sharma, J. Yi, and C.-J. [14]P.-Y。 Chen, H. Zhang, Y. Sharma, J. Yi, C.-J 0.85
Hsieh, “Zoo: Zeroth order optimization based black-box attacks to deep neural networks without training substitute models,” in Proceedings of the 10th ACM Workshop on Artificial Intelligence and Security, 2017, pp. Hsieh, “Zoo: Zeroth Order Optimization based black-box attack to deep neural network without training instead model” in Proceedings of the 10th ACM Workshop on Artificial Intelligence and Security, 2017 pp。 0.80
15–26. [15] Y. Lu, Y. Jia, J. Wang, B. Li, W. Chai, L. Carin, and S. Velipasalar, “Enhancing cross-task black-box transferability of adversarial examples with dispersion reduction,” in Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition, 2020, pp. 15–26. 15] y. lu, y. jia, j. wang, b. li, w. chai, l. carin, s. velipasalar, “enhancing cross-task black-box transferability of adversarial examples with dispersion reduction” in the ieee/cvf conference on computer vision and pattern recognition, 2020, pp. (英語) 0.77
940–949. [16] L. Jiang, X. Ma, S. Chen, J. Bailey, and Y.-G. Jiang, “Black-box adversarial attacks on video recognition models,” in Proceedings of the 27th ACM International Conference on Multimedia, 2019, pp. 940–949. L. Jiang, X. Ma, S. Chen, J. Bailey, Y.-G. Jiang, “Black-box adversarial attacks on video recognition model” in Proceedings of the 27th ACM International Conference on Multimedia, 2019, pp. 0.81
864–872. [17] C. Sitawarin, A. N. Bhagoji, A. Mosenia, M. Chiang, and P. Mittal, 864–872. [17]C.Sitawarin,A.N.Bhag oji,A.Mosenia,M.Chia ng,P.Mittal 0.75
“Darts: Deceiving autonomous cars with toxic signs,” 2018. 2018年の”Darts: Deceiving autonomous cars with toxic signs”。 0.83
[18] Z. Huang and T. Zhang, “Black-box adversarial attack with transferable [18]Z. Huang,T. Zhang, “Black-box adversarial attack with transferable” 0.85
model-based embedding,” arXiv preprint arXiv:1911.07140, 2019. とarXiv preprint arXiv:1911.07140, 2019。 0.78
[19] W. Brendel, J. Rauber, and M. Bethge, “Decision-based adversarial attacks: Reliable attacks against black-box machine learning models,” arXiv preprint arXiv:1712.04248, 2017. W. Brendel, J. Rauber, and M. Bethge, “Decision-based adversarial attack: Reliable attacks against black-box machine learning model, arXiv preprint arXiv:1712.04248, 2017”。 0.89
英語(論文から抽出)日本語訳スコア
Fig. 10. フィギュア。 10. 0.64
Visual Results on GTSRB - 2. GTSRB - 2のビジュアル結果。 0.72
True class of the input image is 9. 入力画像の真のクラスは9である。 0.78
M-SimBA flattens the distribution of confused class probabilities (red box on M-SimBA plot) compared to the other two attacks. M-SimBAは、他の2つの攻撃と比較して混乱したクラス確率(M-SimBAプロット上の赤いボックス)の分布をフラットにする。 0.59
It is a desirable behavior such that there is a high chance that the black-box model confuses with at least of the other class. ブラックボックスモデルが少なくとも他のクラスと混同する可能性が高いのは望ましい行動である。 0.61
               ページの最初に戻る

翻訳にはFugu-Machine Translatorを利用しています。