論文の概要: Generating Black-Box Adversarial Examples in Sparse Domain
- arxiv url: http://arxiv.org/abs/2101.09324v1
- Date: Fri, 22 Jan 2021 20:45:33 GMT
- ステータス: 処理完了
- システム内更新日: 2021-03-20 17:15:23.837819
- Title: Generating Black-Box Adversarial Examples in Sparse Domain
- Title(参考訳): スパースドメインにおけるブラックボックス対応例の生成
- Authors: Hadi Zanddizari and J. Morris Chang
- Abstract要約: ブラックボックスの敵対攻撃は、攻撃者がモデルやトレーニングデータセットに関する知識を持っていない攻撃の一種です。
画像の最も重要な情報が観察できる一方で,スパース領域においてブラックボックス攻撃を発生させる新しい手法を提案する。
- 参考スコア(独自算出の注目度): 2.879036956042183
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Applications of machine learning (ML) models and convolutional neural
networks (CNNs) have been rapidly increased. Although ML models provide high
accuracy in many applications, recent investigations show that such networks
are highly vulnerable to adversarial attacks. The black-box adversarial attack
is one type of attack that the attacker does not have any knowledge about the
model or the training dataset. In this paper, we propose a novel approach to
generate a black-box attack in sparse domain whereas the most important
information of an image can be observed. Our investigation shows that large
sparse components play a critical role in the performance of the image
classifiers. Under this presumption, to generate adversarial example, we
transfer an image into a sparse domain and put a threshold to choose only k
largest components. In contrast to the very recent works that randomly perturb
k low frequency (LoF) components, we perturb k largest sparse (LaS)components
either randomly (query-based) or in the direction of the most correlated sparse
signal from a different class. We show that LaS components contain some middle
or higher frequency components information which can help us fool the
classifiers with a fewer number of queries. We also demonstrate the
effectiveness of this approach by fooling the TensorFlow Lite (TFLite) model of
Google Cloud Vision platform. Mean squared error (MSE) and peak signal to noise
ratio (PSNR) are used as quality metrics. We present a theoretical proof to
connect these metrics to the level of perturbation in the sparse domain. We
tested our adversarial examples to the state-of-the-art CNNs and support vector
machine (SVM) classifiers on color and grayscale image datasets. The results
show the proposed method can highly increase the misclassification rate of the
classifiers.
- Abstract(参考訳): 機械学習(ML)モデルと畳み込みニューラルネットワーク(CNN)の応用は急速に増加している。
MLモデルは、多くのアプリケーションにおいて高い精度を提供するが、最近の調査では、このようなネットワークは敵の攻撃に対して非常に脆弱であることが示されている。
ブラックボックスの敵攻撃は、攻撃者がモデルやトレーニングデータセットについて何も知らない攻撃の一種である。
本稿では,画像の最も重要な情報を観察できる一方,スパース領域におけるブラックボックス攻撃を発生させる新しい手法を提案する。
本研究では,画像分類器の性能において大きなスパース成分が重要な役割を担っていることを示す。
この仮定の下で、逆の例を生成するために、イメージをスパースドメインに転送し、しきい値を設定して最大成分kだけを選択する。
ランダムに摂動する k 個の低周波成分(LoF)とは対照的に、我々は k 個の最大のスパース成分(LaS)をランダムに(クエリベース)または異なるクラスの最も相関したスパース信号の方向に摂動する。
LaS コンポーネントには中あるいは高頻度のコンポーネント情報が含まれており、少ないクエリ数で分類器を騙すのに役立ちます。
また,Google Cloud VisionプラットフォームのTensorFlow Lite(TFLite)モデルを騙して,このアプローチの有効性を示す。
品質指標として平均二乗誤差(MSE)とピーク信号対雑音比(PSNR)を用いる。
本稿では,これらの指標をスパース領域の摂動レベルに接続する理論的証明を提案する。
カラーおよびグレースケールの画像データセット上で、最先端のCNNとサポートベクターマシン(SVM)分類器の逆例を検証した。
その結果,提案手法は分類器の誤分類率を高く評価できることがわかった。
関連論文リスト
- SAIF: Sparse Adversarial and Interpretable Attack Framework [6.753109608424743]
Sparse Adversarial and Interpretable Attack Framework (SAIF) と呼ばれる新しい攻撃手法を提案する。
具体的には、少数の画素で低次摂動を含む知覚不能な攻撃を設計し、これらのスパース攻撃を利用して分類器の脆弱性を明らかにする。
SAIFは、非常に受け入れ難い、解釈可能な敵の例を計算し、ImageNetデータセット上で最先端のスパース攻撃手法より優れている。
論文 参考訳(メタデータ) (2022-12-14T20:28:50Z) - Large-Margin Representation Learning for Texture Classification [67.94823375350433]
本稿では,テクスチャ分類のための小さなデータセット上で教師付きモデルをトレーニングするために,畳み込み層(CL)と大規模計量学習を組み合わせた新しいアプローチを提案する。
テクスチャと病理画像データセットの実験結果から,提案手法は同等のCNNと比較して計算コストが低く,収束が早く,競争精度が向上することが示された。
論文 参考訳(メタデータ) (2022-06-17T04:07:45Z) - FrequencyLowCut Pooling -- Plug & Play against Catastrophic Overfitting [12.062691258844628]
本稿では,任意のCNNアーキテクチャに簡単に接続可能な,自由なダウンサンプリング操作を提案する。
実験の結果,単純かつ高速なFGSM逆行訓練と組み合わせることで,超パラメータフリー演算子がモデルロバスト性を大幅に向上することがわかった。
論文 参考訳(メタデータ) (2022-04-01T14:51:28Z) - Efficient and Robust Classification for Sparse Attacks [34.48667992227529]
我々は、画像認識、自然言語処理、マルウェア検出の領域において効果的な攻撃として示されてきた$ell$-normで束縛された摂動を考える。
我々は,「トランケーション」と「アドリアル・トレーニング」を組み合わせた新しい防衛手法を提案する。
得られた洞察に触発され、これらのコンポーネントをニューラルネットワーク分類器に拡張する。
論文 参考訳(メタデータ) (2022-01-23T21:18:17Z) - Discriminator-Free Generative Adversarial Attack [87.71852388383242]
生成的ベースの敵攻撃は、この制限を取り除くことができる。
ASymmetric Saliency-based Auto-Encoder (SSAE) は摂動を生成する。
SSAEが生成した敵の例は、広く使われているモデルを崩壊させるだけでなく、優れた視覚的品質を実現する。
論文 参考訳(メタデータ) (2021-07-20T01:55:21Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - Gaussian MRF Covariance Modeling for Efficient Black-Box Adversarial
Attacks [86.88061841975482]
我々は,ゼロオーダーのオラクルにのみアクセス可能なブラックボックス設定において,逆例を生成する問題について検討する。
我々はこの設定を用いて、FGSM(Fast Gradient Sign Method)のブラックボックス版と同様に、高速な1ステップの敵攻撃を見つける。
提案手法はクエリを少なくし,現在の技術よりも攻撃成功率が高いことを示す。
論文 参考訳(メタデータ) (2020-10-08T18:36:51Z) - Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。
NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
論文 参考訳(メタデータ) (2020-09-24T06:22:56Z) - Training Interpretable Convolutional Neural Networks by Differentiating
Class-specific Filters [64.46270549587004]
畳み込みニューラルネットワーク(CNN)は、様々なタスクでうまく使われている。
CNNは、しばしば「ブラックボックス」と解釈可能性の欠如とみなされる。
本稿では,クラス固有のフィルタを奨励することで,解釈可能なCNNを訓練する新しい手法を提案する。
論文 参考訳(メタデータ) (2020-07-16T09:12:26Z) - Defensive Approximation: Securing CNNs using Approximate Computing [2.29450472676752]
我々の近似計算実装は、幅広い攻撃シナリオにまたがって堅牢性を実現することを示す。
分類精度は同じ水準を維持し,再訓練を必要とせず,資源利用量やエネルギー消費量を削減できる。
論文 参考訳(メタデータ) (2020-06-13T18:58:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。