論文の概要: Learning to Attack with Fewer Pixels: A Probabilistic Post-hoc Framework
for Refining Arbitrary Dense Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2010.06131v2
- Date: Mon, 21 Feb 2022 05:46:54 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-07 23:21:49.083361
- Title: Learning to Attack with Fewer Pixels: A Probabilistic Post-hoc Framework
for Refining Arbitrary Dense Adversarial Attacks
- Title(参考訳): 低いレンズで攻撃を学習する: 任意線量攻撃を補う確率論的ポストホックフレームワーク
- Authors: He Zhao, Thanh Nguyen, Trung Le, Paul Montague, Olivier De Vel, Tamas
Abraham, Dinh Phung
- Abstract要約: 敵対的回避攻撃は ディープニューラルネットワーク画像分類器に 影響を受けやすいと報告されている
本稿では,乱れ画素数を著しく減少させることで,高密度攻撃を抑える確率的ポストホックフレームワークを提案する。
我々のフレームワークは、既存のスパース攻撃よりもはるかに高速に敵攻撃を行う。
- 参考スコア(独自算出の注目度): 21.349059923635515
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Deep neural network image classifiers are reported to be susceptible to
adversarial evasion attacks, which use carefully crafted images created to
mislead a classifier. Many adversarial attacks belong to the category of dense
attacks, which generate adversarial examples by perturbing all the pixels of a
natural image. To generate sparse perturbations, sparse attacks have been
recently developed, which are usually independent attacks derived by modifying
a dense attack's algorithm with sparsity regularisations, resulting in reduced
attack efficiency. In this paper, we aim to tackle this task from a different
perspective. We select the most effective perturbations from the ones generated
from a dense attack, based on the fact we find that a considerable amount of
the perturbations on an image generated by dense attacks may contribute little
to attacking a classifier. Accordingly, we propose a probabilistic post-hoc
framework that refines given dense attacks by significantly reducing the number
of perturbed pixels but keeping their attack power, trained with mutual
information maximisation. Given an arbitrary dense attack, the proposed model
enjoys appealing compatibility for making its adversarial images more realistic
and less detectable with fewer perturbations. Moreover, our framework performs
adversarial attacks much faster than existing sparse attacks.
- Abstract(参考訳): ディープニューラルネットワーク画像分類器は、分類器を誤解させるために慎重に作られた画像を使用する敵の回避攻撃に感受性があると報告されている。
多くの敵対攻撃は高密度攻撃のカテゴリに属し、自然画像のすべてのピクセルを摂動させることで敵の例を生成する。
スパース摂動(sparse perturbation)を生成するために、スパース攻撃(sparse attack)が最近開発されているが、これは通常、集中攻撃のアルゴリズムをスパース性正規化で修正することで引き起こされる独立した攻撃であり、攻撃効率が低下する。
本稿では,この課題に異なる視点から取り組むことを目的とする。
我々は,高密度攻撃によって発生する画像の摂動が,分類器の攻撃にはほとんど寄与しないことから,高密度攻撃によって生成された画像から最も効果的な摂動を選択する。
そこで本稿では,乱入画素数を大幅に削減し,相互情報最大化を訓練した攻撃力を維持できる確率的ポストホックフレームワークを提案する。
任意の密集攻撃を前提として、提案モデルは、対向画像をよりリアルにし、摂動を少なくして検出し難いものにするために、魅力的な互換性を享受する。
さらに,我々のフレームワークは,既存のスパース攻撃よりもはるかに高速に敵攻撃を行う。
関連論文リスト
- SAIF: Sparse Adversarial and Imperceptible Attack Framework [7.025774823899217]
Sparse Adversarial and Interpretable Attack Framework (SAIF) と呼ばれる新しい攻撃手法を提案する。
具体的には、少数の画素で低次摂動を含む知覚不能な攻撃を設計し、これらのスパース攻撃を利用して分類器の脆弱性を明らかにする。
SAIFは、非常に受け入れ難い、解釈可能な敵の例を計算し、ImageNetデータセット上で最先端のスパース攻撃手法より優れている。
論文 参考訳(メタデータ) (2022-12-14T20:28:50Z) - Adv-Attribute: Inconspicuous and Transferable Adversarial Attack on Face
Recognition [111.1952945740271]
Adv-Attribute (Adv-Attribute) は、顔認証に対する不明瞭で伝達可能な攻撃を生成するように設計されている。
FFHQとCelebA-HQデータセットの実験は、提案されたAdv-Attributeメソッドが最先端の攻撃成功率を達成することを示している。
論文 参考訳(メタデータ) (2022-10-13T09:56:36Z) - Scale-free Photo-realistic Adversarial Pattern Attack [20.818415741759512]
Generative Adversarial Networks (GAN)は、より意味論的に意味のあるテクスチャパターンを合成することによって、この問題に部分的に対処することができる。
本稿では,任意のスケールの画像に対して意味論的に意味のある敵対パターンを世界規模で合成する,スケールフリーな生成ベースアタックアルゴリズムを提案する。
論文 参考訳(メタデータ) (2022-08-12T11:25:39Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - Pixle: a fast and effective black-box attack based on rearranging pixels [15.705568893476947]
ブラックボックスの敵攻撃は攻撃モデルの内部構造を知ることなく行うことができる。
本稿では,攻撃画像内に少数の画素を並べ替えることで,高い割合のサンプルを正しく攻撃できる新たな攻撃法を提案する。
我々の攻撃は、多数のデータセットやモデルに作用し、少数の反復が必要であり、元のサンプルと逆のサンプルの間の距離が人間の目では無視可能であることを実証する。
論文 参考訳(メタデータ) (2022-02-04T17:03:32Z) - Parallel Rectangle Flip Attack: A Query-based Black-box Attack against
Object Detection [89.08832589750003]
本稿では,攻撃領域近傍の準最適検出を回避するために,ランダム探索による並列矩形フリップ攻撃(PRFA)を提案する。
提案手法は, アンカーベースやアンカーフリーなど, 様々な人気物体検出装置を効果的かつ効率的に攻撃し, 転送可能な対向例を生成する。
論文 参考訳(メタデータ) (2022-01-22T06:00:17Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - Towards Defending against Adversarial Examples via Attack-Invariant
Features [147.85346057241605]
ディープニューラルネットワーク(DNN)は敵の雑音に弱い。
敵の強靭性は、敵の例を利用して改善することができる。
目に見えない種類の敵の例に基づいて訓練されたモデルは、一般的に、目に見えない種類の敵の例にうまく一般化できない。
論文 参考訳(メタデータ) (2021-06-09T12:49:54Z) - Perception Improvement for Free: Exploring Imperceptible Black-box
Adversarial Attacks on Image Classification [27.23874129994179]
ホワイトボックスの敵攻撃は、特に大きな画像の場合、小さな摂動を伴うニューラルネットワークを騙すことができる。
逆行性摂動を成功させることは、特にトランスファーベースのブラックボックス逆行攻撃では困難である。
本稿では,心理的知覚モデルに基づく対向画像の生成による構造認識型対向攻撃を提案する。
論文 参考訳(メタデータ) (2020-10-30T07:17:12Z) - Double Targeted Universal Adversarial Perturbations [83.60161052867534]
本稿では, インスタンス別画像依存摂動と汎用的普遍摂動のギャップを埋めるために, 二重目標普遍摂動(DT-UAP)を導入する。
提案したDTAアルゴリズムの幅広いデータセットに対する有効性を示すとともに,物理攻撃の可能性を示す。
論文 参考訳(メタデータ) (2020-10-07T09:08:51Z) - Towards Feature Space Adversarial Attack [18.874224858723494]
本稿では,画像分類のためのニューラルネットに対する新たな敵攻撃を提案する。
私たちの攻撃は、抽象的な特徴、具体的にはスタイルを表す特徴の摂動に焦点を当てています。
我々の攻撃は、最先端の攻撃よりも自然に見える敵のサンプルを生成できることを示す。
論文 参考訳(メタデータ) (2020-04-26T13:56:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。