論文の概要: Stronger and Faster Wasserstein Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2008.02883v1
- Date: Thu, 6 Aug 2020 21:36:12 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-02 06:44:16.257420
- Title: Stronger and Faster Wasserstein Adversarial Attacks
- Title(参考訳): より強くより高速なワッサーシュタイン攻撃
- Authors: Kaiwen Wu and Allen Houze Wang and Yaoliang Yu
- Abstract要約: ディープモデルは、敵攻撃として知られる「小さく、知覚不能な」摂動に対して脆弱である。
我々は、より強力な射影勾配攻撃を可能にするために、正確かつ効率的なプロジェクション演算子を開発する。
また、適当な線形最小化オラクルを備えたフランク=ウルフ法は、ワッサーシュタインの制約の下で極めて高速に機能することを示した。
- 参考スコア(独自算出の注目度): 25.54761631515683
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Deep models, while being extremely flexible and accurate, are surprisingly
vulnerable to "small, imperceptible" perturbations known as adversarial
attacks. While the majority of existing attacks focus on measuring
perturbations under the $\ell_p$ metric, Wasserstein distance, which takes
geometry in pixel space into account, has long been known to be a suitable
metric for measuring image quality and has recently risen as a compelling
alternative to the $\ell_p$ metric in adversarial attacks. However,
constructing an effective attack under the Wasserstein metric is
computationally much more challenging and calls for better optimization
algorithms. We address this gap in two ways: (a) we develop an exact yet
efficient projection operator to enable a stronger projected gradient attack;
(b) we show that the Frank-Wolfe method equipped with a suitable linear
minimization oracle works extremely fast under Wasserstein constraints. Our
algorithms not only converge faster but also generate much stronger attacks.
For instance, we decrease the accuracy of a residual network on CIFAR-10 to
$3.4\%$ within a Wasserstein perturbation ball of radius $0.005$, in contrast
to $65.6\%$ using the previous Wasserstein attack based on an
\emph{approximate} projection operator. Furthermore, employing our stronger
attacks in adversarial training significantly improves the robustness of
adversarially trained models.
- Abstract(参考訳): 深層モデルは極めて柔軟で正確であるが、敵攻撃として知られる「小さく、知覚不能な」摂動に対して驚くほど脆弱である。
既存の攻撃の大半は$\ell_p$メートル法で摂動を測定することに重点を置いているが、画素空間の幾何学を考慮に入れているワッサーシュタイン距離は、画像品質を測定するのに適した測度として知られており、最近は$\ell_p$メートル法に代わる魅力的な代替手段として浮上している。
しかし、ワッサーシュタイン計量の下で効果的な攻撃を構築することは、計算的にはるかに困難であり、より良い最適化アルゴリズムを要求する。
このギャップを2つの方法で解決します
a) より強力な投射勾配攻撃を可能にするために、正確にかつ効率的な投射演算子を開発する。
b) 適当な線形最小化オラクルを備えたフランク=ウルフ法はワッサーシュタインの制約下で極めて高速に機能することを示す。
我々のアルゴリズムはより速く収束するだけでなく、より強力な攻撃を引き起こす。
例えば、cifar-10上の残差ネットワークの精度を半径0.005$のwasserstein摂動球内の3.4\%$に低下させる。
さらに, 対戦訓練における攻撃の強化は, 対戦訓練モデルの堅牢性を大幅に向上させる。
関連論文リスト
- Deep Adversarial Defense Against Multilevel-Lp Attacks [5.604868766260297]
本稿では,EMRC法 (Efficient Robust Mode Connectivity) と呼ばれる,計算効率の良いマルチレベル$ell_p$ディフェンスを提案する。
連続最適化で用いられる解析的継続アプローチと同様に、この手法は2つの$p$特化逆最適化モデルをブレンドする。
我々は,AT-$ell_infty$,E-AT,MSDと比較して,本手法が様々な攻撃に対して優れていることを示す実験を行った。
論文 参考訳(メタデータ) (2024-07-12T13:30:00Z) - Wasserstein Adversarial Examples on Univariant Time Series Data [23.15675721397447]
時系列データに対するワッサーシュタイン空間の逆例を提案する。
We use Wasserstein distance to bound the perturbation between normal example and adversarial examples。
医療領域における時系列データセットに対する攻撃を実証的に評価した。
論文 参考訳(メタデータ) (2023-03-22T07:50:15Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - PDPGD: Primal-Dual Proximal Gradient Descent Adversarial Attack [92.94132883915876]
最先端のディープニューラルネットワークは、小さな入力摂動に敏感である。
対向騒音に対するロバスト性を改善するための多くの防御法が提案されている。
敵の強靭さを評価することは 極めて困難であることが分かりました
論文 参考訳(メタデータ) (2021-06-03T01:45:48Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - Patch-wise++ Perturbation for Adversarial Targeted Attacks [132.58673733817838]
トランスファビリティの高い対比例の作成を目的としたパッチワイズ反復法(PIM)を提案する。
具体的には、各イテレーションのステップサイズに増幅係数を導入し、$epsilon$-constraintをオーバーフローする1ピクセルの全体的な勾配が、その周辺領域に適切に割り当てられる。
現在の攻撃方法と比較して、防御モデルでは35.9%、通常訓練されたモデルでは32.7%、成功率を大幅に向上させた。
論文 参考訳(メタデータ) (2020-12-31T08:40:42Z) - Understanding Frank-Wolfe Adversarial Training [1.2183405753834557]
Adversarial Training(AT)は、最悪のケースの損失を最小限に抑えるために、堅牢な最適化問題を解決する技術です。
frank-wolfe adversarial trainingアプローチが提示され、pgd-atのような競争力レベルの堅牢性を提供する。
論文 参考訳(メタデータ) (2020-12-22T21:36:52Z) - Composite Adversarial Attacks [57.293211764569996]
敵対攻撃は、機械学習(ML)モデルを欺くための技術です。
本論文では,攻撃アルゴリズムの最適組み合わせを自動的に探索するための複合攻撃法(Composite Adrial Attack,CAA)を提案する。
CAAは11の防衛でトップ10の攻撃を破り、時間の経過は少ない。
論文 参考訳(メタデータ) (2020-12-10T03:21:16Z) - RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
論文 参考訳(メタデータ) (2020-06-23T07:01:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。