論文の概要: Evading Deepfake-Image Detectors with White- and Black-Box Attacks
- arxiv url: http://arxiv.org/abs/2004.00622v1
- Date: Wed, 1 Apr 2020 17:59:59 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-17 19:21:20.568931
- Title: Evading Deepfake-Image Detectors with White- and Black-Box Attacks
- Title(参考訳): 白黒ボックス攻撃によるディープフェイク画像の検出
- Authors: Nicholas Carlini, Hany Farid
- Abstract要約: 一般的な法医学的アプローチは、ニューラルネットワークを訓練して、実際の合成内容と区別することを示します。
我々は,既存の画像生成装置の約0.95のLOC曲線(AUC)以下の領域を達成できる最先端の分類器に関する5つの攻撃事例研究を開発した。
また、ターゲット分類器にアクセスできないブラックボックス攻撃により、AUCを0.22に削減する。
- 参考スコア(独自算出の注目度): 75.13740810603686
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: It is now possible to synthesize highly realistic images of people who don't
exist. Such content has, for example, been implicated in the creation of
fraudulent social-media profiles responsible for dis-information campaigns.
Significant efforts are, therefore, being deployed to detect
synthetically-generated content. One popular forensic approach trains a neural
network to distinguish real from synthetic content.
We show that such forensic classifiers are vulnerable to a range of attacks
that reduce the classifier to near-0% accuracy. We develop five attack case
studies on a state-of-the-art classifier that achieves an area under the ROC
curve (AUC) of 0.95 on almost all existing image generators, when only trained
on one generator. With full access to the classifier, we can flip the lowest
bit of each pixel in an image to reduce the classifier's AUC to 0.0005; perturb
1% of the image area to reduce the classifier's AUC to 0.08; or add a single
noise pattern in the synthesizer's latent space to reduce the classifier's AUC
to 0.17. We also develop a black-box attack that, with no access to the target
classifier, reduces the AUC to 0.22. These attacks reveal significant
vulnerabilities of certain image-forensic classifiers.
- Abstract(参考訳): 現在、存在していない人々の非常に現実的なイメージを合成することが可能である。
このようなコンテンツは、例えば、非情報キャンペーンに責任を負う不正なソーシャルメディアプロファイルの作成に関係している。
したがって、合成コンテンツを検出するために、重要な取り組みが展開されている。
ある一般的な法医学的アプローチは、ニューラルネットワークを訓練し、実際の合成内容と区別する。
このような法医学的分類器は,分類器の精度をほぼ0%に低下させるような攻撃に対して脆弱であることを示す。
我々は,既存の画像生成装置のほぼ全てにおいて,OC曲線(AUC)0.95以下の領域を達成できる最先端の分類器の攻撃事例を5つ開発する。
分類器の完全なアクセスにより、画像中の各画素の最低ビットをめくって分類器のaucを0.00005に、画像領域の1%を摂動させ、分類器のaucを0.08に減らしたり、シンセサイザーの潜在空間に単一のノイズパターンを追加して分類器のaucを0.17に減らすことができる。
また,対象の分類器にアクセスせず,aucを0.22に減らすブラックボックス攻撃を開発した。
これらの攻撃は、特定の画像法定分類器の重大な脆弱性を示す。
関連論文リスト
- Any Target Can be Offense: Adversarial Example Generation via Generalized Latent Infection [83.72430401516674]
GAKerは任意のターゲットクラスに対して逆例を構築することができる。
本手法は,未知のクラスに対する攻撃成功率を約14.13%で達成する。
論文 参考訳(メタデータ) (2024-07-17T03:24:09Z) - ZeroPur: Succinct Training-Free Adversarial Purification [52.963392510839284]
敵の粛清は、様々な目に見えない敵の攻撃を防御できる防衛計算手法の一種である。
我々は、ZeroPurと呼ばれる、逆画像の浄化を更なる訓練なしに簡単な逆画像浄化法を提案する。
論文 参考訳(メタデータ) (2024-06-05T10:58:15Z) - Breaking Free: How to Hack Safety Guardrails in Black-Box Diffusion Models! [52.0855711767075]
EvoSeedは、フォトリアリスティックな自然対向サンプルを生成するための進化戦略に基づくアルゴリズムフレームワークである。
我々は,CMA-ESを用いて初期種ベクトルの探索を最適化し,条件付き拡散モデルで処理すると,自然逆数サンプルをモデルで誤分類する。
実験の結果, 生成した対向画像は画像品質が高く, 安全分類器を通過させることで有害なコンテンツを生成する懸念が高まっていることがわかった。
論文 参考訳(メタデータ) (2024-02-07T09:39:29Z) - Rethinking Image Forgery Detection via Contrastive Learning and
Unsupervised Clustering [26.923409536155166]
画像偽造検出のためのFOCAL(FOrensic ContrAstive cLustering)法を提案する。
FOCALは対照的な学習と教師なしクラスタリングに基づいている。
その結果、FOCALは最先端の競合アルゴリズムよりも優れていた。
論文 参考訳(メタデータ) (2023-08-18T05:05:30Z) - Influencer Backdoor Attack on Semantic Segmentation [39.57965442338681]
インフルエンサーバックドアアタック(IBA)はセマンティックセグメンテーションモデルに対するバックドアアタックである。
IBAは、すべての推定において、非ビビティ画素の分類精度と、すべての犠牲者画素の誤った分類を維持することが期待されている。
我々は,被害者の画素から離れた位置にトリガを配置しても最適な性能を維持する,革新的なPixelランダムラベリング戦略を導入する。
論文 参考訳(メタデータ) (2023-03-21T17:45:38Z) - SAIF: Sparse Adversarial and Imperceptible Attack Framework [7.025774823899217]
Sparse Adversarial and Interpretable Attack Framework (SAIF) と呼ばれる新しい攻撃手法を提案する。
具体的には、少数の画素で低次摂動を含む知覚不能な攻撃を設計し、これらのスパース攻撃を利用して分類器の脆弱性を明らかにする。
SAIFは、非常に受け入れ難い、解釈可能な敵の例を計算し、ImageNetデータセット上で最先端のスパース攻撃手法より優れている。
論文 参考訳(メタデータ) (2022-12-14T20:28:50Z) - Guided Diffusion Model for Adversarial Purification [103.4596751105955]
敵攻撃は、様々なアルゴリズムやフレームワークでディープニューラルネットワーク(DNN)を妨害する。
本稿では,GDMP ( Guided diffusion model for purification) と呼ばれる新しい精製法を提案する。
様々なデータセットにわたる包括的実験において,提案したGDMPは,敵対的攻撃によって引き起こされた摂動を浅い範囲に減少させることを示した。
論文 参考訳(メタデータ) (2022-05-30T10:11:15Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - Non-Intrusive Detection of Adversarial Deep Learning Attacks via
Observer Networks [5.4572790062292125]
近年の研究では、深層学習モデルは逆入力に弱いことが示されている。
本稿では,主分類網を複数のバイナリ検出器で拡張することにより,逆入力を検出する新しい手法を提案する。
我々は、MNISTデータセットで99.5%、CIFAR-10データセットで97.5%の精度で検出する。
論文 参考訳(メタデータ) (2020-02-22T21:13:00Z) - Adversarial Attacks on Convolutional Neural Networks in Facial
Recognition Domain [2.4704085162861693]
Deep Neural Network(DNN)分類器を実生活で脆弱にする敵攻撃は、自動運転車、マルウェアフィルター、生体認証システムにおいて深刻な脅威となる。
我々はFast Gradient Sign Methodを適用し、顔画像データセットに摂動を導入し、異なる分類器で出力をテストする。
我々は、最小の敵対的知識を前提に、さまざまなブラックボックス攻撃アルゴリズムを顔画像データセット上に構築する。
論文 参考訳(メタデータ) (2020-01-30T00:25:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。