論文の概要: Defending against substitute model black box adversarial attacks with
the 01 loss
- arxiv url: http://arxiv.org/abs/2009.09803v1
- Date: Tue, 1 Sep 2020 22:32:51 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-23 00:24:47.061231
- Title: Defending against substitute model black box adversarial attacks with
the 01 loss
- Title(参考訳): 代替型ブラックボックス攻撃に対する01損失による防御
- Authors: Yunzhe Xue, Meiyan Xie, Usman Roshan
- Abstract要約: 代用モデルブラックボックス攻撃に対する防御として,01損失線形と01損失二重層ニューラルネットワークモデルを提案する。
我々の研究は、01損失モデルが代替モデルブラックボックス攻撃に対する強力な防御を提供することを示している。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Substitute model black box attacks can create adversarial examples for a
target model just by accessing its output labels. This poses a major challenge
to machine learning models in practice, particularly in security sensitive
applications. The 01 loss model is known to be more robust to outliers and
noise than convex models that are typically used in practice. Motivated by
these properties we present 01 loss linear and 01 loss dual layer neural
network models as a defense against transfer based substitute model black box
attacks. We compare the accuracy of adversarial examples from substitute model
black box attacks targeting our 01 loss models and their convex counterparts
for binary classification on popular image benchmarks. Our 01 loss dual layer
neural network has an adversarial accuracy of 66.2%, 58%, 60.5%, and 57% on
MNIST, CIFAR10, STL10, and ImageNet respectively whereas the sigmoid activated
logistic loss counterpart has accuracies of 63.5%, 19.3%, 14.9%, and 27.6%.
Except for MNIST the convex counterparts have substantially lower adversarial
accuracies. We show practical applications of our models to deter traffic sign
and facial recognition adversarial attacks. On GTSRB street sign and CelebA
facial detection our 01 loss network has 34.6% and 37.1% adversarial accuracy
respectively whereas the convex logistic counterpart has accuracy 24% and 1.9%.
Finally we show that our 01 loss network can attain robustness on par with
simple convolutional neural networks and much higher than its convex
counterpart even when attacked with a convolutional network substitute model.
Our work shows that 01 loss models offer a powerful defense against substitute
model black box attacks.
- Abstract(参考訳): 代替モデルブラックボックス攻撃は、出力ラベルにアクセスするだけでターゲットモデルの逆例を作成することができる。
これは機械学習モデル、特にセキュリティに敏感なアプリケーションにとって大きな課題となる。
01損失モデルは、一般的に使用される凸モデルよりも、異常値やノイズに対して頑健であることが知られている。
これらの特性により、転送ベース代替モデルブラックボックス攻撃に対する防御として、01損失線形と01損失二重層ニューラルネットワークモデルを示す。
我々は,我々の01損失モデルを対象にした代替モデルのブラックボックス攻撃と,人気のある画像ベンチマークにおけるバイナリ分類のための凸攻撃の精度を比較した。
我々の01損失二重層ニューラルネットワークは、MNIST、CIFAR10、STL10、ImageNetでそれぞれ66.2%、58%、60.5%、および57%の逆精度を持つが、シグモノイド活性化ロジスティック損失は63.5%、19.3%、14.9%、27.6%である。
MNISTを除いて、凸部は逆境の精度が著しく低い。
我々は,交通標識や顔認識の攻撃を抑えるために,我々のモデルの実用的応用を示す。
GTSRBの道路標識とCelebAの顔検出では、01損失ネットワークはそれぞれ34.6%と37.1%の精度で、凸ロジスティックなネットワークは24%と1.9%である。
最後に、我々の01損失ネットワークは、単純な畳み込みニューラルネットワークと同等の堅牢性を達成でき、畳み込みネットワーク代用モデルで攻撃しても、その畳み込みネットワークよりもはるかに高くなることを示す。
我々の研究は、01損失モデルが代替モデルブラックボックス攻撃に対する強力な防御を提供することを示している。
関連論文リスト
- Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。
GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。
その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
論文 参考訳(メタデータ) (2023-10-25T03:30:42Z) - Fault Injection and Safe-Error Attack for Extraction of Embedded Neural Network Models [1.2499537119440245]
モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。
攻撃を成功させるためのブラックボックス手法を提案する。
古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
論文 参考訳(メタデータ) (2023-08-31T13:09:33Z) - Practical No-box Adversarial Attacks with Training-free Hybrid Image
Transformation [123.33816363589506]
ノンボックス脅威モデルの下では, テキストbftraining-free adversarial perturbationの存在を示す。
低レベルの特徴を持つ高周波成分 (HFC) ドメインは, 主に周波数成分の操作によって画像を攻撃する。
我々の手法は、主流の転送ベースのブラックボックス攻撃と競合する。
論文 参考訳(メタデータ) (2022-03-09T09:51:00Z) - Towards Adversarial Patch Analysis and Certified Defense against Crowd
Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。
近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。
群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文 参考訳(メタデータ) (2021-04-22T05:10:55Z) - Generating Unrestricted Adversarial Examples via Three Parameters [11.325135016306165]
提案された敵対攻撃は、限られたパラメータ数を持つ無制限の敵対的例を生成する。
MNISTとSVHNデータセットの人間による評価で平均的な成功率は93.5%である。
また、モデル精度を6つのデータセットで平均73%削減します。
論文 参考訳(メタデータ) (2021-03-13T07:20:14Z) - Defence against adversarial attacks using classical and quantum-enhanced
Boltzmann machines [64.62510681492994]
生成モデルはデータセットの基盤となる分布を学習し、それらは本質的に小さな摂動に対してより堅牢である。
MNISTデータセット上のBoltzmannマシンによる攻撃に対して、5%から72%の改良が見られる。
論文 参考訳(メタデータ) (2020-12-21T19:00:03Z) - Towards adversarial robustness with 01 loss neural networks [0.0]
本稿では,機械学習における敵攻撃に対する防御手段として,畳み込み座標降下を訓練した隠れ層01損失ニューラルネットワークを提案する。
我々は、01損失ネットワークの最小歪みを、二項化ニューラルネットワークと標準シグモノイド活性化ネットワークのクロスエントロピー損失と比較した。
我々の研究は、01損失ネットワークが凸損失や双対ネットワークよりもブラックボックス敵攻撃を防御できる可能性を示唆している。
論文 参考訳(メタデータ) (2020-08-20T18:18:49Z) - Perceptual Adversarial Robustness: Defense Against Unseen Threat Models [58.47179090632039]
敵対的堅牢性の鍵となる課題は、人間の知覚を正確に数学的に特徴づけることの欠如である。
ニューラル・パーセプチュアル・脅威モデルの下で、我々は新しいパーセプチュアル・アタックとディフェンスを開発する。
NPTMは非常に広範であるため、知覚的攻撃に対する知覚的適応訓練(PAT)は、他の多くの種類の敵対的攻撃に対して堅牢性を与える。
論文 参考訳(メタデータ) (2020-06-22T22:40:46Z) - On the transferability of adversarial examples between convex and 01
loss models [0.0]
線形01損失と凸(隠れ)損失モデルの間の逆例の転送可能性について検討した。
両層ニューラルネットワークにおいて, 01損失の不連続性により, 敵の移動が不可能になることを示す。
01損失の2層符号活性化ネットワークは,単純な畳み込みネットワークと同程度の堅牢性が得られることを示す。
論文 参考訳(メタデータ) (2020-06-14T04:51:45Z) - DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
論文 参考訳(メタデータ) (2020-03-28T04:28:13Z) - Robust binary classification with the 01 loss [0.0]
線形01損失と1つの隠蔽層01損失ニューラルネットワークの座標降下アルゴリズムを開発した。
本稿では,線形サポートベクトルマシンとロジスティックロス単一隠蔽層ネットワークとを高速かつ精度良く比較した。
論文 参考訳(メタデータ) (2020-02-09T20:41:12Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。