論文の概要: Are L2 adversarial examples intrinsically different?
- arxiv url: http://arxiv.org/abs/2002.12527v2
- Date: Mon, 7 Sep 2020 04:37:21 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-28 02:22:02.239721
- Title: Are L2 adversarial examples intrinsically different?
- Title(参考訳): L2逆例は本質的に異なるか?
- Authors: Mingxuan Li, Jingyuan Wang, Yufan Wu
- Abstract要約: 理論的解析により、本質的に逆例と正規入力を区別できる性質を解明する。
我々は,MNISTで最大99%,CIFARで89%,ImageNetサブセットで最大87%の分類精度を,$L$攻撃に対して達成した。
- 参考スコア(独自算出の注目度): 14.77179227968466
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep Neural Network (DDN) has achieved notable success in various tasks,
including many security concerning scenarios. However, a considerable amount of
work has proved its vulnerability to adversaries. We unravel the properties
that can intrinsically differentiate adversarial examples and normal inputs
through theoretical analysis. That is, adversarial examples generated by $L_2$
attacks usually have larger input sensitivity which can be used to identify
them efficiently. We also found that those generated by $L_\infty$ attacks will
be different enough in the pixel domain to be detected empirically. To verify
our analysis, we proposed a \textbf{G}uided \textbf{C}omplementary
\textbf{D}efense module (\textbf{GCD}) integrating detection and recovery
processes. When compared with adversarial detection methods, our detector
achieves a detection AUC of over 0.98 against most of the attacks. When
comparing our guided rectifier with commonly used adversarial training methods
and other rectification methods, our rectifier outperforms them by a large
margin. We achieve a recovered classification accuracy of up to 99\% on MNIST,
89\% on CIFAR-10, and 87\% on ImageNet subsets against $L_2$ attacks.
Furthermore, under the white-box setting, our holistic defensive module shows a
promising degree of robustness. Thus, we confirm that at least $L_2$
adversarial examples are intrinsically different enough from normal inputs both
theoretically and empirically. And we shed light upon designing simple yet
effective defensive methods with these properties.
- Abstract(参考訳): Deep Neural Network(DDN)は,シナリオに関するセキュリティなど,さまざまなタスクで顕著な成功を収めている。
しかし、かなりの量の作業が敵に対する脆弱性を証明している。
理論的解析により、本質的に逆例と正規入力を区別できる性質を解明する。
つまり、$L_2$アタックによって生成された逆例は、通常より大きな入力感度を持ち、それらを効率的に識別することができる。
また、$L_\infty$攻撃によって生成された画像は、ピクセル領域で経験的に検出できるほど異なることが判明した。
分析を検証するために,検出とリカバリプロセスを統合した \textbf{g}uided \textbf{c}omplementary \textbf{d}efenseモジュール (\textbf{gcd}) を提案した。
敵検出法と比較すると,ほとんどの攻撃に対して0.98以上の検出aucが得られる。
ガイド付き整流器と、一般的な対向訓練法や他の整流法を比較すると、整流器は大きなマージンで優れる。
本研究では,mnist の 99 %,cifar-10 の 89 %,imagenet のサブセットの 87 % の分類精度を $l_2$ 攻撃に対して達成した。
さらに、ホワイトボックス設定下では、我々の総合的な防御モジュールは、有望な堅牢性を示す。
したがって、少なくとも$l_2$ の逆例が、理論的にも経験的にも通常の入力と十分に異なることが確認できる。
そして、これらの特性でシンプルで効果的な防御方法をデザインすることに光を当てた。
関連論文リスト
- Any Target Can be Offense: Adversarial Example Generation via Generalized Latent Infection [83.72430401516674]
GAKerは任意のターゲットクラスに対して逆例を構築することができる。
本手法は,未知のクラスに対する攻撃成功率を約14.13%で達成する。
論文 参考訳(メタデータ) (2024-07-17T03:24:09Z) - Robust width: A lightweight and certifiable adversarial defense [0.0]
逆例は、モデルが誤った予測や分類を行うように意図的に構築される。
本研究では,最近圧縮センシングに導入された頑健な幅特性(RWP)に基づく対角防御について検討する。
本稿では、RWPに基づく特定の入力浄化方式により、ほぼスパースな画像に対して理論的ロバスト性を保証することを示す。
論文 参考訳(メタデータ) (2024-05-24T22:50:50Z) - Latent Feature Relation Consistency for Adversarial Robustness [80.24334635105829]
深層ニューラルネットワークは、人間の知覚できない敵のノイズを自然の例に付加する敵の例を予測するときに、誤分類が起こる。
textbfLatent textbfFeature textbfRelation textbfConsistency (textbfLFRC)を提案する。
LFRCは、潜在空間における逆例の関係を、自然例と整合性に制約する。
論文 参考訳(メタデータ) (2023-03-29T13:50:01Z) - Detection and Mitigation of Byzantine Attacks in Distributed Training [24.951227624475443]
ワーカノードの異常なビザンチン挙動は、トレーニングを脱線させ、推論の品質を損なう可能性がある。
最近の研究は、幅広い攻撃モデルを検討し、歪んだ勾配を補正するために頑健な集約と/または計算冗長性を探究している。
本研究では、強力な攻撃モデルについて検討する:$q$ omniscient adversaries with full knowledge of the defense protocol that can change from iteration to iteration to weak one: $q$ randomly selected adversaries with limited collusion abilities。
論文 参考訳(メタデータ) (2022-08-17T05:49:52Z) - Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。
有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。
SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文 参考訳(メタデータ) (2022-07-25T03:24:58Z) - ADC: Adversarial attacks against object Detection that evade Context
consistency checks [55.8459119462263]
文脈整合性チェックさえも、適切に構築された敵の例に対して脆弱であることを示す。
このような防御を覆す実例を生成するための適応型フレームワークを提案する。
我々の結果は、コンテキストを堅牢にモデル化し、一貫性をチェックする方法はまだ未解決の問題であることを示している。
論文 参考訳(メタデータ) (2021-10-24T00:25:09Z) - Sample Efficient Detection and Classification of Adversarial Attacks via
Self-Supervised Embeddings [40.332149464256496]
ディープモデルのアドリヤロバスト性は、現実世界の環境において安全な配置を確保する上で重要な要素である。
本稿では、敵攻撃を検知し、それらの脅威モデルに分類する自己教師型手法を提案する。
我々は,SimCLRエンコーダを実験で使用しています。
論文 参考訳(メタデータ) (2021-08-30T16:39:52Z) - Self-Supervised Adversarial Example Detection by Disentangled
Representation [16.98476232162835]
判別器ネットワークが支援するオートエンコーダを,正しくペア化されたクラス/セマンティクス特徴と誤ったペアのクラス/セマンティクス特徴の両方から訓練し,良性と反例を再構築する。
これは逆例の振る舞いを模倣し、オートエンコーダの不要な一般化能力を減らすことができる。
本手法は,最先端の自己監視検出手法と比較して,様々な測定結果において優れた性能を示す。
論文 参考訳(メタデータ) (2021-05-08T12:48:18Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z) - Toward Adversarial Robustness via Semi-supervised Robust Training [93.36310070269643]
アドリラルな例は、ディープニューラルネットワーク(DNN)に対する深刻な脅威であることが示されている。
R_stand$ と $R_rob$ の2つの異なるリスクを共同で最小化することで、新しい防御手法であるロバストトレーニング(RT)を提案する。
論文 参考訳(メタデータ) (2020-03-16T02:14:08Z) - Defending Adversarial Attacks via Semantic Feature Manipulation [23.48763375455514]
本稿では,敵の事例を検出・浄化するために,FM(One-off and attack-agnostic Feature Manipulation)-Defenseを提案する。
特徴の操作を可能にするために、コンボ変分オートエンコーダを適用して、意味的特徴を明らかにする非絡み合った潜在符号を学習する。
実験により、FM-Defenseは、異なる最先端の敵攻撃によって生成されるほぼ100%の敵の例を検出できることが示された。
論文 参考訳(メタデータ) (2020-02-03T23:24:32Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。