論文の概要: You Only Query Once: Effective Black Box Adversarial Attacks with
Minimal Repeated Queries
- arxiv url: http://arxiv.org/abs/2102.00029v1
- Date: Fri, 29 Jan 2021 19:16:51 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-05 00:25:40.431617
- Title: You Only Query Once: Effective Black Box Adversarial Attacks with
Minimal Repeated Queries
- Title(参考訳): 一度だけクエリする: 最小繰り返しのクエリによる効果的なブラックボックス攻撃
- Authors: Devin Willmott, Anit Kumar Sahu, Fatemeh Sheikholeslami, Filipe
Condessa, Zico Kolter
- Abstract要約: 異なる画像のシーケンスを1回だけクエリすることで、ブラックボックス設定で逆の摂動を作ることができることを示す。
この攻撃は、多くの類似クエリの検出を防止し、クラス化子への入力に適用されると誤分類を引き起こす摂動を生成する。
- 参考スコア(独自算出の注目度): 4.794822439017277
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Researchers have repeatedly shown that it is possible to craft adversarial
attacks on deep classifiers (small perturbations that significantly change the
class label), even in the "black-box" setting where one only has query access
to the classifier. However, all prior work in the black-box setting attacks the
classifier by repeatedly querying the same image with minor modifications,
usually thousands of times or more, making it easy for defenders to detect an
ensuing attack. In this work, we instead show that it is possible to craft
(universal) adversarial perturbations in the black-box setting by querying a
sequence of different images only once. This attack prevents detection from
high number of similar queries and produces a perturbation that causes
misclassification when applied to any input to the classifier. In experiments,
we show that attacks that adhere to this restriction can produce untargeted
adversarial perturbations that fool the vast majority of MNIST and CIFAR-10
classifier inputs, as well as in excess of $60-70\%$ of inputs on ImageNet
classifiers. In the targeted setting, we exhibit targeted black-box universal
attacks on ImageNet classifiers with success rates above $20\%$ when only
allowed one query per image, and $66\%$ when allowed two queries per image.
- Abstract(参考訳): 研究者は、深い分類器(クラスラベルを著しく変更する小さな摂動)に対する敵対的な攻撃を、分類器へのクエリアクセスしか持たない「ブラックボックス」設定でも実行可能であることを繰り返し示してきた。
しかし、ブラックボックス設定のすべての以前の作業は、同じ画像を小さな変更(通常数千回以上)で繰り返しクエリすることで分類器を攻撃し、ディフェンダーがそれに続く攻撃を検出するのが容易である。
本研究では、異なる画像のシーケンスを1回だけクエリすることで、ブラックボックス設定で(普遍的な)逆摂動を作ることができることを示す。
この攻撃は、多くの類似クエリの検出を防止し、クラス化子への入力に適用されると誤分類を引き起こす摂動を生成する。
実験では、この制限に従う攻撃は、MNISTとCIFAR-10の分類器入力の大部分を騙し、イメージネット分類器に60~70 %の入力を超過する未目標の敵の摂動を生じさせることを示した。
対象設定では,1画像につき1クエリのみ許可した場合に20\%$以上,画像毎に2クエリを許可した場合に66\%$以下,imagenet分類器に対してターゲットのブラックボックスユニバーサルアタックを提示する。
関連論文リスト
- AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - Distributed Black-box Attack: Do Not Overestimate Black-box Attacks [4.764637544913963]
ブラックボックスの敵攻撃は、モデル構造や重みへのアクセスを必要とせずに、画像分類器を誤分類する可能性がある。
最近の研究によると、攻撃の成功率は95%以上で、クエリは1000未満である。
本稿では,ローカルモデルではなく,クラウドAPIに直接ブラックボックス攻撃を適用する。
論文 参考訳(メタデータ) (2022-10-28T19:14:03Z) - Blackbox Attacks via Surrogate Ensemble Search [18.413568112132197]
代理アンサンブルサーチ(BASES)によるブラックボックス攻撃の新しい手法を提案する。
提案手法は,最先端の手法と比較して,少なくとも30倍少ないクエリで良好な成功率が得られることを示す。
われわれの方法はGoogle Cloud Vision APIでも有効であり、画像当たり2.9クエリで91%の非ターゲット攻撃成功率を達成した。
論文 参考訳(メタデータ) (2022-08-07T01:24:11Z) - Parallel Rectangle Flip Attack: A Query-based Black-box Attack against
Object Detection [89.08832589750003]
本稿では,攻撃領域近傍の準最適検出を回避するために,ランダム探索による並列矩形フリップ攻撃(PRFA)を提案する。
提案手法は, アンカーベースやアンカーフリーなど, 様々な人気物体検出装置を効果的かつ効率的に攻撃し, 転送可能な対向例を生成する。
論文 参考訳(メタデータ) (2022-01-22T06:00:17Z) - Towards A Conceptually Simple Defensive Approach for Few-shot
classifiers Against Adversarial Support Samples [107.38834819682315]
本研究は,数発の分類器を敵攻撃から守るための概念的簡便なアプローチについて検討する。
本稿では,自己相似性とフィルタリングの概念を用いた簡易な攻撃非依存検出法を提案する。
ミニイメージネット(MI)とCUBデータセットの攻撃検出性能は良好である。
論文 参考訳(メタデータ) (2021-10-24T05:46:03Z) - Local Black-box Adversarial Attacks: A Query Efficient Approach [64.98246858117476]
アドリアックは、セキュリティに敏感なシナリオにおけるディープニューラルネットワークの適用を脅かしている。
ブラックボックス攻撃における限られたクエリ内でのみクリーンな例の識別領域を摂動させる新しいフレームワークを提案する。
攻撃成功率の高いブラックボックス摂動時のクエリ効率を大幅に改善できることを示すため,広範な実験を行った。
論文 参考訳(メタデータ) (2021-01-04T15:32:16Z) - A Black-box Adversarial Attack Strategy with Adjustable Sparsity and
Generalizability for Deep Image Classifiers [16.951363298896638]
ブラックボックスの逆転摂動は現実世界のアプリケーションにとってより実用的である。
本稿では,有効普遍画素制限摂動を構成するためのDceitアルゴリズムを提案する。
Deceitを用いた画像の摂動は,約10%の画素しか持たないことが判明した。
論文 参考訳(メタデータ) (2020-04-24T19:42:00Z) - Evading Deepfake-Image Detectors with White- and Black-Box Attacks [75.13740810603686]
一般的な法医学的アプローチは、ニューラルネットワークを訓練して、実際の合成内容と区別することを示します。
我々は,既存の画像生成装置の約0.95のLOC曲線(AUC)以下の領域を達成できる最先端の分類器に関する5つの攻撃事例研究を開発した。
また、ターゲット分類器にアクセスできないブラックボックス攻撃により、AUCを0.22に削減する。
論文 参考訳(メタデータ) (2020-04-01T17:59:59Z) - Denoised Smoothing: A Provable Defense for Pretrained Classifiers [101.67773468882903]
本稿では,事前訓練された画像分類器を$ell_p$の敵攻撃に対して確実に防御する手法を提案する。
この方法では、公開ビジョンAPIプロバイダやユーザは、トレーニング済みの非ロバスト分類サービスを、確実に堅牢なものにシームレスに変換することができる。
論文 参考訳(メタデータ) (2020-03-04T06:15:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。