論文の概要: Minimax Defense against Gradient-based Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2002.01256v1
- Date: Tue, 4 Feb 2020 12:33:13 GMT
- ステータス: 処理完了
- システム内更新日: 2023-01-04 02:51:24.704735
- Title: Minimax Defense against Gradient-based Adversarial Attacks
- Title(参考訳): グラディエント型敵攻撃に対するミニマックス防御
- Authors: Blerta Lindqvist, Rauf Izmailov
- Abstract要約: そこで我々は,極小最適化を応用した新たな手法を提案する。
我々のミニマックス防衛は98.07%(MNISTデフォルト98.93%)、73.90%(CIFAR-10デフォルト83.14%)、94.54%(TRAFFICデフォルト96.97%)を達成した。
我々のMinimax対逆アプローチは、ニューラルネットワーク分類器の防御戦略に大きな変化をもたらす。
- 参考スコア(独自算出の注目度): 2.4403071643841243
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: State-of-the-art adversarial attacks are aimed at neural network classifiers.
By default, neural networks use gradient descent to minimize their loss
function. The gradient of a classifier's loss function is used by
gradient-based adversarial attacks to generate adversarially perturbed images.
We pose the question whether another type of optimization could give neural
network classifiers an edge. Here, we introduce a novel approach that uses
minimax optimization to foil gradient-based adversarial attacks. Our minimax
classifier is the discriminator of a generative adversarial network (GAN) that
plays a minimax game with the GAN generator. In addition, our GAN generator
projects all points onto a manifold that is different from the original
manifold since the original manifold might be the cause of adversarial attacks.
To measure the performance of our minimax defense, we use adversarial attacks -
Carlini Wagner (CW), DeepFool, Fast Gradient Sign Method (FGSM) - on three
datasets: MNIST, CIFAR-10 and German Traffic Sign (TRAFFIC). Against CW
attacks, our minimax defense achieves 98.07% (MNIST-default 98.93%), 73.90%
(CIFAR-10-default 83.14%) and 94.54% (TRAFFIC-default 96.97%). Against DeepFool
attacks, our minimax defense achieves 98.87% (MNIST), 76.61% (CIFAR-10) and
94.57% (TRAFFIC). Against FGSM attacks, we achieve 97.01% (MNIST), 76.79%
(CIFAR-10) and 81.41% (TRAFFIC). Our Minimax adversarial approach presents a
significant shift in defense strategy for neural network classifiers.
- Abstract(参考訳): 最先端の敵攻撃はニューラルネットワーク分類器を対象としている。
ニューラルネットワークはデフォルトで勾配降下を利用して損失関数を最小化する。
分類器の損失関数の勾配は、勾配に基づく敵対攻撃によって逆摂動画像を生成する。
我々は、他のタイプの最適化がニューラルネットワークの分類器にエッジを与えるかどうかに疑問を呈する。
本稿では,最小限の最適化を応用した新たな手法を提案する。
我々のミニマックス分類器は、GANジェネレータでミニマックスゲームをする生成逆数ネットワーク(GAN)の判別器である。
さらに、我々のgan生成器は、元の多様体とは異なる多様体にすべての点を投影する。
我々は,MNIST, CIFAR-10, German Traffic Sign (TRAFFIC) の3つのデータセット上で, 敵攻撃Carlini Wagner (CW), DeepFool, Fast Gradient Sign Method (FGSM) を用いる。
CW攻撃に対して、我々のミニマックス防衛は98.07%(MNISTデフォルト98.93%)、73.90%(CIFAR-10デフォルト83.14%)、94.54%(TRAFFICデフォルト96.97%)を達成した。
DeepFool攻撃に対して、私たちのミニマックス防衛は98.87%(MNIST)、76.61%(CIFAR-10)、94.57%(TRAFFIC)を達成した。
FGSM攻撃に対して,97.01%(MNIST),76.79%(CIFAR-10),81.41%(TRAFFIC)を達成した。
我々のMinimax対逆アプローチは、ニューラルネットワーク分類器の防御戦略に大きな変化をもたらす。
関連論文リスト
- Wasserstein distributional robustness of neural networks [9.79503506460041]
ディープニューラルネットワークは敵攻撃(AA)に弱いことが知られている
画像認識タスクでは、元の小さな摂動によって画像が誤分類される可能性がある。
本稿では,Wassersteinの分散ロバスト最適化(DRO)技術を用いて問題を再検討し,新しいコントリビューションを得た。
論文 参考訳(メタデータ) (2023-06-16T13:41:24Z) - Detection and Mitigation of Byzantine Attacks in Distributed Training [24.951227624475443]
ワーカノードの異常なビザンチン挙動は、トレーニングを脱線させ、推論の品質を損なう可能性がある。
最近の研究は、幅広い攻撃モデルを検討し、歪んだ勾配を補正するために頑健な集約と/または計算冗長性を探究している。
本研究では、強力な攻撃モデルについて検討する:$q$ omniscient adversaries with full knowledge of the defense protocol that can change from iteration to iteration to weak one: $q$ randomly selected adversaries with limited collusion abilities。
論文 参考訳(メタデータ) (2022-08-17T05:49:52Z) - Constrained Gradient Descent: A Powerful and Principled Evasion Attack
Against Neural Networks [19.443306494201334]
我々は,攻撃者の目的の直感に従って,攻撃対象のホワイトボックスを攻撃対象とするいくつかのイノベーションを紹介した。
まず,ターゲット攻撃の目的を明確に把握する新たな損失関数を提案する。
第2に,誤分類対象と$L_infty$距離制限の両方を捉えた損失関数のさらなる改良版を用いた新たな攻撃手法を提案する。
論文 参考訳(メタデータ) (2021-12-28T17:36:58Z) - Discriminator-Free Generative Adversarial Attack [87.71852388383242]
生成的ベースの敵攻撃は、この制限を取り除くことができる。
ASymmetric Saliency-based Auto-Encoder (SSAE) は摂動を生成する。
SSAEが生成した敵の例は、広く使われているモデルを崩壊させるだけでなく、優れた視覚的品質を実現する。
論文 参考訳(メタデータ) (2021-07-20T01:55:21Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - PDPGD: Primal-Dual Proximal Gradient Descent Adversarial Attack [92.94132883915876]
最先端のディープニューラルネットワークは、小さな入力摂動に敏感である。
対向騒音に対するロバスト性を改善するための多くの防御法が提案されている。
敵の強靭さを評価することは 極めて困難であることが分かりました
論文 参考訳(メタデータ) (2021-06-03T01:45:48Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - GreedyFool: Distortion-Aware Sparse Adversarial Attack [138.55076781355206]
現代のディープニューラルネットワーク(DNN)は、敵のサンプルに対して脆弱である。
スパース逆数サンプルは、数ピクセルだけを摂動させることでターゲットモデルを騙すことができる。
GreedyFoolと呼ばれる2段階の歪みを考慮したグリーディ法を提案する。
論文 参考訳(メタデータ) (2020-10-26T17:59:07Z) - Patch-wise Attack for Fooling Deep Neural Network [153.59832333877543]
我々は,一般的な訓練と防御モデルに対するブラックボックス攻撃であるパッチワイド反復アルゴリズムを提案する。
我々は、防衛モデルで9.2%、通常訓練されたモデルで3.7%、成功率で著しく改善した。
論文 参考訳(メタデータ) (2020-07-14T01:50:22Z) - Confusing and Detecting ML Adversarial Attacks with Injected Attractors [13.939695351344538]
機械学習の敵対攻撃は、攻撃対象関数の勾配に従えば、被害者モデル$mathcal M$の敵サンプルを見つける。
攻撃をいくつかの局所的な最小限に誤誘導することを目的として,これらの機能を積極的に修正するアプローチを採っている。
我々は,透かし方式のデコーダがアトラクタの特性を示すことを観察し,アトラクタを被害者モデルに注入する汎用的な方法を提案する。
論文 参考訳(メタデータ) (2020-03-05T16:02:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。