論文の概要: DaST: Data-free Substitute Training for Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2003.12703v2
- Date: Tue, 31 Mar 2020 15:25:06 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-18 23:36:50.111206
- Title: DaST: Data-free Substitute Training for Adversarial Attacks
- Title(参考訳): DaST: 敵対的攻撃に対するデータフリー代替訓練
- Authors: Mingyi Zhou, Jing Wu, Yipeng Liu, Shuaicheng Liu, Ce Zhu
- Abstract要約: 本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
- 参考スコア(独自算出の注目度): 55.76371274622313
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Machine learning models are vulnerable to adversarial examples. For the
black-box setting, current substitute attacks need pre-trained models to
generate adversarial examples. However, pre-trained models are hard to obtain
in real-world tasks. In this paper, we propose a data-free substitute training
method (DaST) to obtain substitute models for adversarial black-box attacks
without the requirement of any real data. To achieve this, DaST utilizes
specially designed generative adversarial networks (GANs) to train the
substitute models. In particular, we design a multi-branch architecture and
label-control loss for the generative model to deal with the uneven
distribution of synthetic samples. The substitute model is then trained by the
synthetic samples generated by the generative model, which are labeled by the
attacked model subsequently. The experiments demonstrate the substitute models
produced by DaST can achieve competitive performance compared with the baseline
models which are trained by the same train set with attacked models.
Additionally, to evaluate the practicability of the proposed method on the
real-world task, we attack an online machine learning model on the Microsoft
Azure platform. The remote model misclassifies 98.35% of the adversarial
examples crafted by our method. To the best of our knowledge, we are the first
to train a substitute model for adversarial attacks without any real data.
- Abstract(参考訳): 機械学習モデルは、敵の例に弱い。
ブラックボックス設定では、現在の代替攻撃は敵の例を生成するために事前訓練されたモデルを必要とする。
しかし、事前訓練されたモデルは現実世界のタスクでは入手が難しい。
本稿では,データフリーの代替訓練手法(DaST)を提案し,実際のデータを必要としない敵のブラックボックス攻撃の代替モデルを求める。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
特に, 合成試料の不均一分布を扱うために, 生成モデルにおけるマルチブランチアーキテクチャとラベル制御損失を設計した。
代用モデルは、生成モデルによって生成された合成サンプルによって訓練され、その後、攻撃モデルによってラベル付けされる。
実験により,DASTが生成する代替モデルは,攻撃モデルを用いた同一列車で訓練したベースラインモデルと比較して,競争性能が向上することを示した。
さらに,提案手法の現実的タスクにおける実践性を評価するため,Microsoft Azureプラットフォーム上でのオンライン機械学習モデルを攻撃する。
遠隔モデルは,本手法で作成した敵例の98.35%を誤分類する。
私たちの知る限りでは、実際のデータなしで敵の攻撃の代替モデルをトレーニングするのは、当社が初めてです。
関連論文リスト
- Downstream Transfer Attack: Adversarial Attacks on Downstream Models with Pre-trained Vision Transformers [95.22517830759193]
本稿では、事前訓練されたViTモデルから下流タスクへのこのような逆の脆弱性の伝達可能性について検討する。
DTAは攻撃成功率(ASR)が90%を超え、既存の手法をはるかに上回っていることを示す。
論文 参考訳(メタデータ) (2024-08-03T08:07:03Z) - OMG-ATTACK: Self-Supervised On-Manifold Generation of Transferable
Evasion Attacks [17.584752814352502]
Evasion Attacks (EA) は、入力データを歪ませることで、トレーニングされたニューラルネットワークの堅牢性をテストするために使用される。
本稿では, 自己教師型, 計算的経済的な手法を用いて, 対逆例を生成する手法を提案する。
我々の実験は、この手法が様々なモデル、目に見えないデータカテゴリ、さらには防御されたモデルで有効であることを一貫して実証している。
論文 参考訳(メタデータ) (2023-10-05T17:34:47Z) - Scalable Membership Inference Attacks via Quantile Regression [35.33158339354343]
メンバーシップ推論攻撃は、トレーニングで特定の例が使用されたかどうかに関わらず、トレーニングされたモデルへのブラックボックスアクセスを使用して決定するように設計されている。
本稿では,トレーニングに使用されていない点に対する攻撃下でモデルによって誘導される信頼度スコアの分布に基づいて,量子回帰に基づく新たな攻撃方法を提案する。
論文 参考訳(メタデータ) (2023-07-07T16:07:00Z) - DST: Dynamic Substitute Training for Data-free Black-box Attack [79.61601742693713]
そこで本研究では,対象モデルからより高速に学習するための代用モデルの促進を目的とした,新しい動的代用トレーニング攻撃手法を提案する。
タスク駆動型グラフに基づく構造情報学習の制約を導入し、生成したトレーニングデータの質を向上させる。
論文 参考訳(メタデータ) (2022-04-03T02:29:11Z) - MEGA: Model Stealing via Collaborative Generator-Substitute Networks [4.065949099860426]
近年のデータフリーモデルステイティングメソッドは,実際のクエリの例を使わずに,ターゲットモデルの知識を抽出するために有効であることが示されている。
本稿では,データフリーモデルステーリングフレームワーク(MEGA)を提案する。
以上の結果から,我々の訓練した代替モデルの精度と敵攻撃成功率は,最先端のデータフリーブラックボックス攻撃よりも最大で33%,40%高い値となる可能性が示唆された。
論文 参考訳(メタデータ) (2022-01-31T09:34:28Z) - Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。
これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
論文 参考訳(メタデータ) (2021-04-26T07:26:29Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Two Sides of the Same Coin: White-box and Black-box Attacks for Transfer
Learning [60.784641458579124]
ホワイトボックスFGSM攻撃によるモデルロバスト性を効果的に向上することを示す。
また,移動学習モデルに対するブラックボックス攻撃手法を提案する。
ホワイトボックス攻撃とブラックボックス攻撃の双方の効果を系統的に評価するために,ソースモデルからターゲットモデルへの変換可能性の評価手法を提案する。
論文 参考訳(メタデータ) (2020-08-25T15:04:32Z) - Data-Free Adversarial Perturbations for Practical Black-Box Attack [25.44755251319056]
本研究では, 学習データ分布の知識を必要とせずに, 対象モデルを騙し, 対向的摂動を創り出すためのデータフリー手法を提案する。
提案手法は,攻撃者が訓練データにアクセスできない場合でも,現在のディープラーニングモデルが依然として危険であることを実証的に示す。
論文 参考訳(メタデータ) (2020-03-03T02:22:12Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。