論文の概要: RayS: A Ray Searching Method for Hard-label Adversarial Attack
- arxiv url: http://arxiv.org/abs/2006.12792v2
- Date: Sat, 5 Sep 2020 18:17:34 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-17 21:34:47.646142
- Title: RayS: A Ray Searching Method for Hard-label Adversarial Attack
- Title(参考訳): RayS: ハードラベル対向攻撃のための線探索法
- Authors: Jinghui Chen and Quanquan Gu
- Abstract要約: 我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
- 参考スコア(独自算出の注目度): 99.72117609513589
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep neural networks are vulnerable to adversarial attacks. Among different
attack settings, the most challenging yet the most practical one is the
hard-label setting where the attacker only has access to the hard-label output
(prediction label) of the target model. Previous attempts are neither effective
enough in terms of attack success rate nor efficient enough in terms of query
complexity under the widely used $L_\infty$ norm threat model. In this paper,
we present the Ray Searching attack (RayS), which greatly improves the
hard-label attack effectiveness as well as efficiency. Unlike previous works,
we reformulate the continuous problem of finding the closest decision boundary
into a discrete problem that does not require any zeroth-order gradient
estimation. In the meantime, all unnecessary searches are eliminated via a fast
check step. This significantly reduces the number of queries needed for our
hard-label attack. Moreover, interestingly, we found that the proposed RayS
attack can also be used as a sanity check for possible "falsely robust" models.
On several recently proposed defenses that claim to achieve the
state-of-the-art robust accuracy, our attack method demonstrates that the
current white-box/black-box attacks could still give a false sense of security
and the robust accuracy drop between the most popular PGD attack and RayS
attack could be as large as $28\%$. We believe that our proposed RayS attack
could help identify falsely robust models that beat most white-box/black-box
attacks.
- Abstract(参考訳): ディープニューラルネットワークは敵の攻撃に弱い。
様々な攻撃設定の中で最も難しいのは、攻撃者がターゲットモデルのハードラベル出力(予測ラベル)のみにアクセスするハードラベル設定である。
以前の試みでは、攻撃の成功率や、広く使われている$L_\infty$標準脅威モデルの下でのクエリの複雑さの観点からは、十分な効果が得られなかった。
本稿では,ハードラベル攻撃の有効性と効率を大幅に向上させるレイサーチアタック(rays)について述べる。
従来の研究とは異なり、最寄りの決定境界を求める連続的な問題をゼロ次勾配推定を必要としない離散問題に再編成する。
一方、不要な検索はすべて、高速チェックステップによって排除される。
これは、ハードラベル攻撃に必要なクエリ数を大幅に削減します。
さらに興味深いことに,提案する光線攻撃は,可能な"極めてロバストな"モデルに対する健全性チェックとしても使用できることがわかった。
最近提案された、最先端のロバストな正確性を達成するための防御策のいくつかでは、現在のホワイトボックス/ブラックボックス攻撃は、セキュリティの誤った感覚を与え、最も人気のあるpgd攻撃とレイ攻撃の間のロバストな精度低下は最大28\%$であることを示している。
我々の提案するrays攻撃は、ほとんどのホワイトボックス/ブラックボックス攻撃を打ち負かす誤ったロバストなモデルを特定するのに役立つと信じています。
関連論文リスト
- Target-driven Attack for Large Language Models [14.784132523066567]
クリーンテキストと攻撃テキストの条件付き確率のKL差を最大化するターゲット駆動型ブラックボックス攻撃法を提案する。
複数の大規模言語モデルとデータセットの実験結果から,攻撃手法の有効性が示された。
論文 参考訳(メタデータ) (2024-11-09T15:59:59Z) - BruSLeAttack: A Query-Efficient Score-Based Black-Box Sparse Adversarial Attack [22.408968332454062]
モデルクエリに対するスコアベースの応答を単純に観察することで、スパース対逆サンプルを生成するという、独特であまりよく理解されていない問題について検討する。
この問題に対するBruSLeAttackアルゴリズムを開発した。
私たちの作業は、モデル脆弱性の迅速な評価を促進し、デプロイされたシステムの安全性、セキュリティ、信頼性に対する警戒を高めます。
論文 参考訳(メタデータ) (2024-04-08T08:59:26Z) - Practical Evaluation of Adversarial Robustness via Adaptive Auto Attack [96.50202709922698]
実用的な評価手法は、便利な(パラメータフリー)、効率的な(イテレーションの少ない)、信頼性を持つべきである。
本稿では,パラメータフリーな適応オートアタック (A$3$) 評価手法を提案する。
論文 参考訳(メタデータ) (2022-03-10T04:53:54Z) - Parallel Rectangle Flip Attack: A Query-based Black-box Attack against
Object Detection [89.08832589750003]
本稿では,攻撃領域近傍の準最適検出を回避するために,ランダム探索による並列矩形フリップ攻撃(PRFA)を提案する。
提案手法は, アンカーベースやアンカーフリーなど, 様々な人気物体検出装置を効果的かつ効率的に攻撃し, 転送可能な対向例を生成する。
論文 参考訳(メタデータ) (2022-01-22T06:00:17Z) - Small Input Noise is Enough to Defend Against Query-based Black-box
Attacks [23.712389625037442]
本稿では,クエリベースのブラックボックス攻撃に対して,ノイズ防御がいかに小さいかを示す。
小さな追加入力ノイズでも、ほとんどのクエリベースの攻撃を中和できます。
強力な防御能力を持つSNDは、元のクリーンな精度と計算速度をほぼ維持します。
論文 参考訳(メタデータ) (2021-01-13T01:45:59Z) - Composite Adversarial Attacks [57.293211764569996]
敵対攻撃は、機械学習(ML)モデルを欺くための技術です。
本論文では,攻撃アルゴリズムの最適組み合わせを自動的に探索するための複合攻撃法(Composite Adrial Attack,CAA)を提案する。
CAAは11の防衛でトップ10の攻撃を破り、時間の経過は少ない。
論文 参考訳(メタデータ) (2020-12-10T03:21:16Z) - Simple and Efficient Hard Label Black-box Adversarial Attacks in Low
Query Budget Regimes [80.9350052404617]
そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。
高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。
提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
論文 参考訳(メタデータ) (2020-07-13T04:34:57Z) - Spanning Attack: Reinforce Black-box Attacks with Unlabeled Data [96.92837098305898]
Black-box攻撃は、機械学習モデルのインプット・アウトプットペアをクエリすることで、敵の摂動を発生させることを目的としている。
ブラックボックス攻撃はしばしば、入力空間の高次元性のためにクエリ非効率性の問題に悩まされる。
本研究では,低次元部分空間における逆摂動を,補助的なラベルのないデータセットに分散させることで抑制するスパンニング攻撃と呼ばれる新しい手法を提案する。
論文 参考訳(メタデータ) (2020-05-11T05:57:15Z) - Action-Manipulation Attacks Against Stochastic Bandits: Attacks and
Defense [45.408568528354216]
我々はアクション・マニピュレーション・アタックと呼ばれる新しいタイプの攻撃を導入する。
この攻撃では、相手が選択したアクション信号を変更することができる。
このような攻撃に対して防御するために,アクション操作攻撃に対して堅牢な新しいアルゴリズムを導入する。
論文 参考訳(メタデータ) (2020-02-19T04:09:15Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。