論文の概要: How Robust are Randomized Smoothing based Defenses to Data Poisoning?

• arxiv url: http://arxiv.org/abs/2012.01274v2
• Date: Tue, 30 Mar 2021 16:29:47 GMT
• ステータス: 処理完了
• システム内更新日: 2021-05-30 08:17:13.877785
• Title: How Robust are Randomized Smoothing based Defenses to Data Poisoning?
• Title（参考訳）: データ中毒に対するランダム化スムースな防御はいかにロバストか?
• Authors: Akshay Mehra, Bhavya Kailkhura, Pin-Yu Chen, Jihun Hamm
• Abstract要約: 我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。 本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。 我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
• 参考スコア（独自算出の注目度）: 66.80663779176979
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Predictions of certifiably robust classifiers remain constant in a neighborhood of a point, making them resilient to test-time attacks with a guarantee. In this work, we present a previously unrecognized threat to robust machine learning models that highlights the importance of training-data quality in achieving high certified adversarial robustness. Specifically, we propose a novel bilevel optimization-based data poisoning attack that degrades the robustness guarantees of certifiably robust classifiers. Unlike other poisoning attacks that reduce the accuracy of the poisoned models on a small set of target points, our attack reduces the average certified radius (ACR) of an entire target class in the dataset. Moreover, our attack is effective even when the victim trains the models from scratch using state-of-the-art robust training methods such as Gaussian data augmentation\cite{cohen2019certified}, MACER\cite{zhai2020macer}, and SmoothAdv\cite{salman2019provably} that achieve high certified adversarial robustness. To make the attack harder to detect, we use clean-label poisoning points with imperceptible distortions. The effectiveness of the proposed method is evaluated by poisoning MNIST and CIFAR10 datasets and training deep neural networks using previously mentioned training methods and certifying the robustness with randomized smoothing. The ACR of the target class, for models trained on generated poison data, can be reduced by more than 30\%. Moreover, the poisoned data is transferable to models trained with different training methods and models with different architectures.
• Abstract（参考訳）: 確実なロバストな分類器の予測は、ある点の近傍で一定であり、保証付きテスト時間攻撃に対して耐性がある。 そこで本研究では,強固な機械学習モデルに対する既知の脅威として,高度に認証された対向ロバスト性を達成する上でのトレーニングデータ品質の重要性を強調する。 具体的には,認証可能なロバスト分類器のロバスト性保証を低下させる,新しい二段階最適化に基づくデータ中毒攻撃を提案する。 ターゲットポイントの小さなセットで被毒モデルの精度を低下させる他の中毒攻撃とは異なり、この攻撃はデータセット内のターゲットクラス全体の平均認定半径(acr)を減少させる。 さらに,本攻撃は,ガウスデータ強化,MACER\cite{zhai2020macer},SmoothAdv\cite{salman2019provably}などの最先端の堅牢性トレーニング手法を用いて,スクラッチからモデルのトレーニングを行う場合においても有効である。 攻撃を検知しにくくするため, 知覚不能な歪みを有する清浄ラベル中毒点を用いる。 提案手法の有効性は、MNISTおよびCIFAR10データセットを汚染し、前述のトレーニング手法を用いて深層ニューラルネットワークを訓練し、ランダムな平滑化でロバスト性を証明することによって評価する。 生成した毒物データに基づいてトレーニングされたモデルのためのターゲットクラスのacrは、30\%以上削減できる。 さらに、有毒データは異なるトレーニング方法と異なるアーキテクチャのモデルで訓練されたモデルに転送可能である。

関連論文リスト

• Unlearnable Examples Detection via Iterative Filtering [84.59070204221366]
  ディープニューラルネットワークは、データ中毒攻撃に弱いことが証明されている。 混合データセットから有毒なサンプルを検出することは極めて有益であり、困難である。 UE識別のための反復フィルタリング手法を提案する。
  論文  参考訳（メタデータ） (2024-08-15T13:26:13Z)
• FACTUAL: A Novel Framework for Contrastive Learning Based Robust SAR Image Classification [10.911464455072391]
  FACTUALは、逆行訓練と堅牢なSAR分類のためのコントラストラーニングフレームワークである。 本モデルでは, 洗浄試料の99.7%, 摂動試料の89.6%の精度が得られた。
  論文  参考訳（メタデータ） (2024-04-04T06:20:22Z)
• Have You Poisoned My Data? Defending Neural Networks against Data Poisoning [0.393259574660092]
  本稿では,トランスファー学習環境における有毒なデータポイントの検出とフィルタリングを行う新しい手法を提案する。 有効毒は, 特徴ベクトル空間の清浄点とよく区別できることを示す。 提案手法は, 防衛率と最終訓練モデルの性能において, 既存の手法よりも優れていることを示す。
  論文  参考訳（メタデータ） (2024-03-20T11:50:16Z)
• FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning Attacks in Federated Learning [98.43475653490219]
  フェデレート・ラーニング(Federated Learning, FL)は、毒素による攻撃を受けやすい。 FreqFedは、モデルの更新を周波数領域に変換する新しいアグリゲーションメカニズムである。 FreqFedは, 凝集モデルの有用性に悪影響を及ぼすことなく, 毒性攻撃を効果的に軽減できることを実証した。
  論文  参考訳（メタデータ） (2023-12-07T16:56:24Z)
• Not All Poisons are Created Equal: Robust Training against Data Poisoning [15.761683760167777]
  データ中毒は、トレーニングデータに悪意ある工芸品のサンプルを注入することで、テスト時間対象のサンプルを誤分類する。 各種データ中毒攻撃の成功率を大幅に低減する効率的な防御機構を提案する。
  論文  参考訳（メタデータ） (2022-10-18T08:19:41Z)
• Accumulative Poisoning Attacks on Real-time Data [56.96241557830253]
  我々は、よく設計されたが簡単な攻撃戦略が、中毒効果を劇的に増幅できることを示します。 我々の研究は、よく設計されたが簡単な攻撃戦略が、中毒効果を劇的に増幅できることを検証する。
  論文  参考訳（メタデータ） (2021-06-18T08:29:53Z)
• Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
  CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。 任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。 本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
  論文  参考訳（メタデータ） (2021-05-31T17:01:05Z)
• A Framework of Randomized Selection Based Certified Defenses Against Data Poisoning Attacks [28.593598534525267]
  本稿では,ランダム選択に基づくデータ中毒攻撃に対する認証防御の枠組みを提案する。 特定の条件を満たすランダム選択方式は、データ中毒攻撃に対して堅牢であることを示す。 当社のフレームワークは,トレーニングセットと中毒モデルに関する事前知識を活用することで,堅牢性の向上を可能にする。
  論文  参考訳（メタデータ） (2020-09-18T10:38:12Z)
• Adversarial Self-Supervised Contrastive Learning [62.17538130778111]
  既存の対数学習アプローチは、主にクラスラベルを使用して、誤った予測につながる対数サンプルを生成する。 本稿では,未ラベルデータに対する新たな逆攻撃を提案する。これにより,モデルが摂動データサンプルのインスタンスレベルのアイデンティティを混乱させる。 ラベル付きデータなしで頑健なニューラルネットワークを逆さまにトレーニングするための,自己教師付きコントラスト学習フレームワークを提案する。
  論文  参考訳（メタデータ） (2020-06-13T08:24:33Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。