論文の概要: Small Input Noise is Enough to Defend Against Query-based Black-box
Attacks
- arxiv url: http://arxiv.org/abs/2101.04829v1
- Date: Wed, 13 Jan 2021 01:45:59 GMT
- ステータス: 処理完了
- システム内更新日: 2021-03-30 08:02:27.613125
- Title: Small Input Noise is Enough to Defend Against Query-based Black-box
Attacks
- Title(参考訳): 小さな入力ノイズはクエリベースのブラックボックス攻撃を防御するのに十分である
- Authors: Junyoung Byun, Hyojun Go, Changick Kim
- Abstract要約: 本稿では,クエリベースのブラックボックス攻撃に対して,ノイズ防御がいかに小さいかを示す。
小さな追加入力ノイズでも、ほとんどのクエリベースの攻撃を中和できます。
強力な防御能力を持つSNDは、元のクリーンな精度と計算速度をほぼ維持します。
- 参考スコア(独自算出の注目度): 23.712389625037442
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: While deep neural networks show unprecedented performance in various tasks,
the vulnerability to adversarial examples hinders their deployment in
safety-critical systems. Many studies have shown that attacks are also possible
even in a black-box setting where an adversary cannot access the target model's
internal information. Most black-box attacks are based on queries, each of
which obtains the target model's output for an input, and many recent studies
focus on reducing the number of required queries. In this paper, we pay
attention to an implicit assumption of these attacks that the target model's
output exactly corresponds to the query input. If some randomness is introduced
into the model to break this assumption, query-based attacks may have
tremendous difficulty in both gradient estimation and local search, which are
the core of their attack process. From this motivation, we observe even a small
additive input noise can neutralize most query-based attacks and name this
simple yet effective approach Small Noise Defense (SND). We analyze how SND can
defend against query-based black-box attacks and demonstrate its effectiveness
against eight different state-of-the-art attacks with CIFAR-10 and ImageNet
datasets. Even with strong defense ability, SND almost maintains the original
clean accuracy and computational speed. SND is readily applicable to
pre-trained models by adding only one line of code at the inference stage, so
we hope that it will be used as a baseline of defense against query-based
black-box attacks in the future.
- Abstract(参考訳): ディープニューラルネットワークは、さまざまなタスクで前例のないパフォーマンスを示すが、敵の例に対する脆弱性は、安全クリティカルなシステムへのデプロイを妨げる。
多くの研究により、敵がターゲットモデルの内部情報にアクセスできないブラックボックス設定でも攻撃が可能であることが示されている。
ほとんどのブラックボックス攻撃はクエリに基づいており、それぞれが入力に対するターゲットモデルの出力を取得し、近年では要求されるクエリの数を減らすことに重点を置いている。
本稿では,対象モデルの出力がクエリ入力と正確に一致するという,これらの攻撃の暗黙の仮定に注意する。
この仮定を破るためにモデルにランダム性を導入すると、クエリベースの攻撃は勾配推定と局所探索の両方において非常に困難になる可能性がある。
このモチベーションから、小さな付加的な入力ノイズでもほとんどのクエリベースの攻撃を中和でき、この単純で効果的なアプローチをSND(Small Noise Defense)と呼ぶ。
SNDがクエリベースのブラックボックス攻撃に対してどのように防御できるかを分析し、CIFAR-10とImageNetデータセットによる8種類の最先端攻撃に対してその効果を示す。
強力な防御能力があるにもかかわらず、SNDは元のクリーンな精度と計算速度をほぼ維持している。
SNDは、推論段階で1行のコードのみを追加することで、事前訓練されたモデルに容易に適用できるので、将来的にはクエリベースのブラックボックス攻撃に対する防御のベースラインとして使用されることを期待します。
関連論文リスト
- AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - BruSLeAttack: A Query-Efficient Score-Based Black-Box Sparse Adversarial Attack [22.408968332454062]
モデルクエリに対するスコアベースの応答を単純に観察することで、スパース対逆サンプルを生成するという、独特であまりよく理解されていない問題について検討する。
この問題に対するBruSLeAttackアルゴリズムを開発した。
私たちの作業は、モデル脆弱性の迅速な評価を促進し、デプロイされたシステムの安全性、セキュリティ、信頼性に対する警戒を高めます。
論文 参考訳(メタデータ) (2024-04-08T08:59:26Z) - Understanding the Robustness of Randomized Feature Defense Against
Query-Based Adversarial Attacks [23.010308600769545]
ディープニューラルネットワークは、元の画像に近いサンプルを見つける敵の例に弱いが、モデルを誤分類させる可能性がある。
モデル中間層における隠れた特徴にランダムノイズを付加することにより,ブラックボックス攻撃に対する簡易かつ軽量な防御法を提案する。
本手法は,スコアベースと決定ベースの両方のブラックボックス攻撃に対するモデルのレジリエンスを効果的に向上させる。
論文 参考訳(メタデータ) (2023-10-01T03:53:23Z) - Certifiable Black-Box Attacks with Randomized Adversarial Examples: Breaking Defenses with Provable Confidence [34.35162562625252]
ブラックボックスの敵攻撃は、機械学習モデルを妥協する強力な可能性を示している。
証明可能な保証付きブラックボックス攻撃の新たなパラダイムについて検討する。
この新しいブラックボックス攻撃は、機械学習モデルの重大な脆弱性を露呈する。
論文 参考訳(メタデータ) (2023-04-10T01:12:09Z) - Towards Lightweight Black-Box Attacks against Deep Neural Networks [70.9865892636123]
ブラックボックス攻撃は、いくつかのテストサンプルしか利用できない実用的な攻撃を引き起こす可能性があると我々は主張する。
いくつかのサンプルが必要なので、これらの攻撃を軽量なブラックボックス攻撃と呼ぶ。
近似誤差を軽減するために,Error TransFormer (ETF) を提案する。
論文 参考訳(メタデータ) (2022-09-29T14:43:03Z) - Theoretical Study of Random Noise Defense against Query-Based Black-Box
Attacks [72.8152874114382]
本研究では、クエリベースのブラックボックス攻撃に対するランダムノイズ防御(RND)と呼ばれる単純だが有望な防御手法を検討する。
軽量で、既製のモデルやその他の防衛戦略と直接組み合わせることができます。
本研究では,クエリベースのブラックボックス攻撃に対する rnd の防御効果と対応する適応攻撃がマグニチュード比に大きく依存することを示すための理論的解析を行った。
論文 参考訳(メタデータ) (2021-04-23T08:39:41Z) - Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。
NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
論文 参考訳(メタデータ) (2020-09-24T06:22:56Z) - RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。
モデルの正当性チェックとしても使用できる。
論文 参考訳(メタデータ) (2020-06-23T07:01:50Z) - Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised
Learning [71.17774313301753]
本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。
ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
論文 参考訳(メタデータ) (2020-06-05T03:03:06Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。