論文の概要: SurFree: a fast surrogate-free black-box attack
- arxiv url: http://arxiv.org/abs/2011.12807v1
- Date: Wed, 25 Nov 2020 15:08:19 GMT
- ステータス: 処理完了
- システム内更新日: 2022-09-21 01:44:46.189412
- Title: SurFree: a fast surrogate-free black-box attack
- Title(参考訳): SurFree:高速サロゲートフリーのブラックボックス攻撃
- Authors: Thibault Maho, Teddy Furon, Erwan Le Merrer
- Abstract要約: 逆の例はわずかに修正された入力で、後に誤分類されるが、元のものと知覚的に近いままである。
ここ数年、ブラックボックス攻撃がターゲットに送信するクエリの量が大幅に減少しているのを目撃している。
本稿では、ブラックボックス決定に基づく攻撃という、最も困難な設定におけるクエリ量を大幅に削減する幾何的アプローチであるSurFreeを提案する。
- 参考スコア(独自算出の注目度): 17.323638042215013
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Machine learning classifiers are critically prone to evasion attacks.
Adversarial examples are slightly modified inputs that are then misclassified,
while remaining perceptively close to their originals. Last couple of years
have witnessed a striking decrease in the amount of queries a black box attack
submits to the target classifier, in order to forge adversarials. This
particularly concerns the black-box score-based setup, where the attacker has
access to top predicted probabilites: the amount of queries went from to
millions of to less than a thousand. This paper presents SurFree, a geometrical
approach that achieves a similar drastic reduction in the amount of queries in
the hardest setup: black box decision-based attacks (only the top-1 label is
available). We first highlight that the most recent attacks in that setup,
HSJA, QEBA and GeoDA all perform costly gradient surrogate estimations. SurFree
proposes to bypass these, by instead focusing on careful trials along diverse
directions, guided by precise indications of geometrical properties of the
classifier decision boundaries. We motivate this geometric approach before
performing a head-to-head comparison with previous attacks with the amount of
queries as a first class citizen. We exhibit a faster distortion decay under
low query amounts (few hundreds to a thousand), while remaining competitive at
higher query budgets.
- Abstract(参考訳): 機械学習の分類器は、回避攻撃の影響を受けやすい。
逆の例はわずかに修正された入力で、後に誤分類される。
ここ数年、敵を偽装するため、ブラックボックス攻撃がターゲット分類器に送信するクエリ数が大幅に減少しているのを目撃している。
これは特にブラックボックスのスコアベースの設定に関係しており、攻撃者は予測される最高の確率にアクセスすることができる。
本稿では,ブラックボックス決定に基づく攻撃(トップ1ラベルのみ利用可能)という,最も困難な設定におけるクエリ量を大幅に削減する幾何学的アプローチであるSurFreeを提案する。
我々はまず、HSJA、QEBA、GeoDAといった最近の攻撃がすべて、コストのかかるグラデーションサロゲート推定を実行している点を強調した。
サーフリーはこれらを回避し、分類器決定境界の幾何学的性質の正確な表示によって導かれる様々な方向に沿って慎重な試行に焦点を当てることを提案する。
我々はこの幾何学的アプローチを,前回の攻撃と一級市民としてのクエリの量を比較する前に動機づける。
高いクエリ予算で競争力を保ちながら、低クエリ量(数百から数千)下でより高速な歪み減衰を示す。
関連論文リスト
- AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - AttackBench: Evaluating Gradient-based Attacks for Adversarial Examples [26.37278338032268]
アドリシャルな例は、通常、勾配ベースの攻撃に最適化される。
それぞれ異なる実験装置を用いて前任者を上回る性能を発揮する。
これは過度に最適化され、偏見のある評価を提供する。
論文 参考訳(メタデータ) (2024-04-30T11:19:05Z) - Hard-label based Small Query Black-box Adversarial Attack [2.041108289731398]
本稿では,事前訓練したサロゲートモデルによって誘導される最適化プロセスを用いて,ハードラベルに基づく攻撃の実用的設定を提案する。
提案手法は,ベンチマークの約5倍の攻撃成功率を達成する。
論文 参考訳(メタデータ) (2024-03-09T21:26:22Z) - Evading Black-box Classifiers Without Breaking Eggs [70.72391781899597]
決定に基づく回避攻撃は、ブラックボックス分類器に繰り返し問い合わせて敵の例を生成する。
以前の作業では、分類器に対して行われたクエリの総数によって、このような攻撃のコストを測定していた。
このメトリクスは欠陥があり、悪いクエリの数を1.5$-$7.3times$に削減する新たな攻撃を設計している、と私たちは主張する。
論文 参考訳(メタデータ) (2023-06-05T14:04:53Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - RamBoAttack: A Robust Query Efficient Deep Neural Network Decision
Exploit [9.93052896330371]
本研究では,局所的な最小値の侵入を回避し,ノイズ勾配からのミスダイレクトを回避できる,堅牢なクエリ効率の高い攻撃法を開発した。
RamBoAttackは、敵クラスとターゲットクラスで利用可能な異なるサンプルインプットに対して、より堅牢である。
論文 参考訳(メタデータ) (2021-12-10T01:25:24Z) - Practical Relative Order Attack in Deep Ranking [99.332629807873]
ディープランキングシステム、すなわちオーダーアタックに対する新しい敵の攻撃を定式化します。
順序攻撃は、攻撃者が特定した順列に応じて、選択された候補群間の相対順序を暗黙的に変更する。
主要なeコマースプラットフォームでうまく実装されている。
論文 参考訳(メタデータ) (2021-03-09T06:41:18Z) - Simple and Efficient Hard Label Black-box Adversarial Attacks in Low
Query Budget Regimes [80.9350052404617]
そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。
高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。
提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
論文 参考訳(メタデータ) (2020-07-13T04:34:57Z) - RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
論文 参考訳(メタデータ) (2020-06-23T07:01:50Z) - QEBA: Query-Efficient Boundary-Based Blackbox Attack [27.740081902519517]
モデルの最終予測ラベルのみに基づいて,クエリ効率の良い境界ベースのブラックボックスアタック(QEBA)を提案する。
現状のブラックボックス攻撃と比較して、QEBAは、100%攻撃成功率の低い摂動量を達成するために、より少ないクエリを使用できることを示す。
論文 参考訳(メタデータ) (2020-05-28T16:41:12Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。