論文の概要: Evading Deepfake-Image Detectors with White- and Black-Box Attacks
- arxiv url: http://arxiv.org/abs/2004.00622v1
- Date: Wed, 1 Apr 2020 17:59:59 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-17 19:21:20.568931
- Title: Evading Deepfake-Image Detectors with White- and Black-Box Attacks
- Title(参考訳): 白黒ボックス攻撃によるディープフェイク画像の検出
- Authors: Nicholas Carlini, Hany Farid
- Abstract要約: 一般的な法医学的アプローチは、ニューラルネットワークを訓練して、実際の合成内容と区別することを示します。
我々は,既存の画像生成装置の約0.95のLOC曲線(AUC)以下の領域を達成できる最先端の分類器に関する5つの攻撃事例研究を開発した。
また、ターゲット分類器にアクセスできないブラックボックス攻撃により、AUCを0.22に削減する。
- 参考スコア(独自算出の注目度): 75.13740810603686
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: It is now possible to synthesize highly realistic images of people who don't
exist. Such content has, for example, been implicated in the creation of
fraudulent social-media profiles responsible for dis-information campaigns.
Significant efforts are, therefore, being deployed to detect
synthetically-generated content. One popular forensic approach trains a neural
network to distinguish real from synthetic content.
We show that such forensic classifiers are vulnerable to a range of attacks
that reduce the classifier to near-0% accuracy. We develop five attack case
studies on a state-of-the-art classifier that achieves an area under the ROC
curve (AUC) of 0.95 on almost all existing image generators, when only trained
on one generator. With full access to the classifier, we can flip the lowest
bit of each pixel in an image to reduce the classifier's AUC to 0.0005; perturb
1% of the image area to reduce the classifier's AUC to 0.08; or add a single
noise pattern in the synthesizer's latent space to reduce the classifier's AUC
to 0.17. We also develop a black-box attack that, with no access to the target
classifier, reduces the AUC to 0.22. These attacks reveal significant
vulnerabilities of certain image-forensic classifiers.
- Abstract(参考訳): 現在、存在していない人々の非常に現実的なイメージを合成することが可能である。
このようなコンテンツは、例えば、非情報キャンペーンに責任を負う不正なソーシャルメディアプロファイルの作成に関係している。
したがって、合成コンテンツを検出するために、重要な取り組みが展開されている。
ある一般的な法医学的アプローチは、ニューラルネットワークを訓練し、実際の合成内容と区別する。
このような法医学的分類器は,分類器の精度をほぼ0%に低下させるような攻撃に対して脆弱であることを示す。
我々は,既存の画像生成装置のほぼ全てにおいて,OC曲線(AUC)0.95以下の領域を達成できる最先端の分類器の攻撃事例を5つ開発する。
分類器の完全なアクセスにより、画像中の各画素の最低ビットをめくって分類器のaucを0.00005に、画像領域の1%を摂動させ、分類器のaucを0.08に減らしたり、シンセサイザーの潜在空間に単一のノイズパターンを追加して分類器のaucを0.17に減らすことができる。
また,対象の分類器にアクセスせず,aucを0.22に減らすブラックボックス攻撃を開発した。
これらの攻撃は、特定の画像法定分類器の重大な脆弱性を示す。
関連論文リスト
- Rethinking Image Forgery Detection via Contrastive Learning and
Unsupervised Clustering [26.923409536155166]
画像偽造検出のためのFOCAL(FOrensic ContrAstive cLustering)法を提案する。
FOCALは対照的な学習と教師なしクラスタリングに基づいている。
その結果、FOCALは最先端の競合アルゴリズムよりも優れていた。
論文 参考訳(メタデータ) (2023-08-18T05:05:30Z) - SAIF: Sparse Adversarial and Imperceptible Attack Framework [7.025774823899217]
Sparse Adversarial and Interpretable Attack Framework (SAIF) と呼ばれる新しい攻撃手法を提案する。
具体的には、少数の画素で低次摂動を含む知覚不能な攻撃を設計し、これらのスパース攻撃を利用して分類器の脆弱性を明らかにする。
SAIFは、非常に受け入れ難い、解釈可能な敵の例を計算し、ImageNetデータセット上で最先端のスパース攻撃手法より優れている。
論文 参考訳(メタデータ) (2022-12-14T20:28:50Z) - Traditional Classification Neural Networks are Good Generators: They are
Competitive with DDPMs and GANs [104.72108627191041]
従来のニューラルネットワーク分類器は、最先端の生成モデルに匹敵する高品質な画像を生成することができることを示す。
マスクをベースとした再構成モジュールを提案し, 意味的勾配を意識し, 可視画像の合成を行う。
また,本手法は,画像テキスト基盤モデルに関して,テキスト・画像生成にも適用可能であることを示す。
論文 参考訳(メタデータ) (2022-11-27T11:25:35Z) - Guided Diffusion Model for Adversarial Purification [103.4596751105955]
敵攻撃は、様々なアルゴリズムやフレームワークでディープニューラルネットワーク(DNN)を妨害する。
本稿では,GDMP ( Guided diffusion model for purification) と呼ばれる新しい精製法を提案する。
様々なデータセットにわたる包括的実験において,提案したGDMPは,敵対的攻撃によって引き起こされた摂動を浅い範囲に減少させることを示した。
論文 参考訳(メタデータ) (2022-05-30T10:11:15Z) - IntraQ: Learning Synthetic Images with Intra-Class Heterogeneity for
Zero-Shot Network Quantization [118.39791787743401]
IntraQと呼ばれる新しいゼロショット量子化法を提案する。
まず,合成画像の異なるスケールと位置で対象物を特定する局所的物体補強法を提案する。
第2に、粗い領域に分布するクラス関連特徴を形成するために、限界距離制約を導入する。
第3に,軟弱な先行ラベルを注入するソフトロスを考案し,合成画像が固定対象物に過度に収まらないようにした。
論文 参考訳(メタデータ) (2021-11-17T14:17:19Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - Detection of Iterative Adversarial Attacks via Counter Attack [4.549831511476249]
ディープニューラルネットワーク(DNN)は、非構造化データを処理する強力なツールであることが証明されている。
画像のような高次元データの場合、それらは本質的に敵対的な攻撃に対して脆弱である。
本研究では、CW攻撃が検出器自体として使用できるという数学的証明を概説する。
論文 参考訳(メタデータ) (2020-09-23T21:54:36Z) - Denoised Smoothing: A Provable Defense for Pretrained Classifiers [101.67773468882903]
本稿では,事前訓練された画像分類器を$ell_p$の敵攻撃に対して確実に防御する手法を提案する。
この方法では、公開ビジョンAPIプロバイダやユーザは、トレーニング済みの非ロバスト分類サービスを、確実に堅牢なものにシームレスに変換することができる。
論文 参考訳(メタデータ) (2020-03-04T06:15:55Z) - Non-Intrusive Detection of Adversarial Deep Learning Attacks via
Observer Networks [5.4572790062292125]
近年の研究では、深層学習モデルは逆入力に弱いことが示されている。
本稿では,主分類網を複数のバイナリ検出器で拡張することにより,逆入力を検出する新しい手法を提案する。
我々は、MNISTデータセットで99.5%、CIFAR-10データセットで97.5%の精度で検出する。
論文 参考訳(メタデータ) (2020-02-22T21:13:00Z) - Adversarial Attacks on Convolutional Neural Networks in Facial
Recognition Domain [2.4704085162861693]
Deep Neural Network(DNN)分類器を実生活で脆弱にする敵攻撃は、自動運転車、マルウェアフィルター、生体認証システムにおいて深刻な脅威となる。
我々はFast Gradient Sign Methodを適用し、顔画像データセットに摂動を導入し、異なる分類器で出力をテストする。
我々は、最小の敵対的知識を前提に、さまざまなブラックボックス攻撃アルゴリズムを顔画像データセット上に構築する。
論文 参考訳(メタデータ) (2020-01-30T00:25:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。