論文の概要: Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm
- arxiv url: http://arxiv.org/abs/2106.06027v1
- Date: Thu, 10 Jun 2021 20:11:36 GMT
- ステータス: 処理完了
- システム内更新日: 2021-06-14 14:36:25.840968
- Title: Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm
- Title(参考訳): ホモトピーアルゴリズムによるスパース・アンド・インセプタブル・アドバーサリー攻撃
- Authors: Mingkang Zhu, Tianlong Chen, Zhangyang Wang
- Abstract要約: 少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
- 参考スコア(独自算出の注目度): 93.80082636284922
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Sparse adversarial attacks can fool deep neural networks (DNNs) by only
perturbing a few pixels (regularized by l_0 norm). Recent efforts combine it
with another l_infty imperceptible on the perturbation magnitudes. The
resultant sparse and imperceptible attacks are practically relevant, and
indicate an even higher vulnerability of DNNs that we usually imagined.
However, such attacks are more challenging to generate due to the optimization
difficulty by coupling the l_0 regularizer and box constraints with a
non-convex objective. In this paper, we address this challenge by proposing a
homotopy algorithm, to jointly tackle the sparsity and the perturbation bound
in one unified framework. Each iteration, the main step of our algorithm is to
optimize an l_0-regularized adversarial loss, by leveraging the nonmonotone
Accelerated Proximal Gradient Method (nmAPG) for nonconvex programming; it is
followed by an l_0 change control step, and an optional post-attack step
designed to escape bad local minima. We also extend the algorithm to handling
the structural sparsity regularizer. We extensively examine the effectiveness
of our proposed homotopy attack for both targeted and non-targeted attack
scenarios, on CIFAR-10 and ImageNet datasets. Compared to state-of-the-art
methods, our homotopy attack leads to significantly fewer perturbations, e.g.,
reducing 42.91% on CIFAR-10 and 75.03% on ImageNet (average case, targeted
attack), at similar maximal perturbation magnitudes, when still achieving 100%
attack success rates. Our codes are available at:
https://github.com/VITA-Group/SparseADV_Homotopy.
- Abstract(参考訳): sparse adversarial attackは、数ピクセルを摂動するだけでディープニューラルネットワーク(dnn)を騙すことができる(l_0ノルムで表現される)。
近年の研究では、摂動等級の別のl_inftyimperceptibleと組み合わされている。
その結果、スパースと非知覚的な攻撃は事実上関係があり、我々が通常想像したより高いDNNの脆弱性を示している。
しかし、この攻撃は、l_0正規化器とボックス制約を非凸目的物とを結合することで最適化の難しさにより、より困難である。
本稿では,この課題をホモトピーアルゴリズムによって解決し,一つの統一フレームワークに束縛されたスパーシティと摂動に共同で取り組むことを提案する。
提案アルゴリズムの主なステップは,非単調なアクセラレーション・プロキシ・グラディエント・メソッド(nmAPG)を非凸プログラミングに活用することにより,l_0-規則化された逆数損失を最適化することであり,その後にl_0変更制御ステップと,悪質なローカル・ミニマから逃れるための任意のポストアタックステップが続く。
また、このアルゴリズムを構造空間正規化器に拡張する。
CIFAR-10 と ImageNet のデータセットを用いて,攻撃シナリオと非攻撃シナリオの両方に対して提案したホモトピー攻撃の有効性を詳細に検討した。
最先端の手法と比較して、我々のホモトピー攻撃は、cifar-10では42.91%、imagenetでは75.03%、100%攻撃成功率の場合も同様の最大摂動規模で、摂動を著しく減少させる。
私たちのコードは、https://github.com/VITA-Group/SparseADV_Homotopy.comで利用可能です。
関連論文リスト
- GSE: Group-wise Sparse and Explainable Adversarial Attacks [20.068273625719943]
スパース敵は、最小ピクセルの摂動によって、愚かなディープニューラルネットワーク(DNN)を攻撃します。
近年の取り組みは、この標準を核グループノルムのようなスパーシティ正則化器に置き換えて、グループワイドの敵攻撃を作らせている。
本稿では,意味的意味のある画像内のグループワイドアタックを生成する2相アルゴリズムを提案する。
論文 参考訳(メタデータ) (2023-11-29T08:26:18Z) - Wasserstein distributional robustness of neural networks [9.79503506460041]
ディープニューラルネットワークは敵攻撃(AA)に弱いことが知られている
画像認識タスクでは、元の小さな摂動によって画像が誤分類される可能性がある。
本稿では,Wassersteinの分散ロバスト最適化(DRO)技術を用いて問題を再検討し,新しいコントリビューションを得た。
論文 参考訳(メタデータ) (2023-06-16T13:41:24Z) - SAIF: Sparse Adversarial and Imperceptible Attack Framework [7.025774823899217]
Sparse Adversarial and Interpretable Attack Framework (SAIF) と呼ばれる新しい攻撃手法を提案する。
具体的には、少数の画素で低次摂動を含む知覚不能な攻撃を設計し、これらのスパース攻撃を利用して分類器の脆弱性を明らかにする。
SAIFは、非常に受け入れ難い、解釈可能な敵の例を計算し、ImageNetデータセット上で最先端のスパース攻撃手法より優れている。
論文 参考訳(メタデータ) (2022-12-14T20:28:50Z) - PDPGD: Primal-Dual Proximal Gradient Descent Adversarial Attack [92.94132883915876]
最先端のディープニューラルネットワークは、小さな入力摂動に敏感である。
対向騒音に対するロバスト性を改善するための多くの防御法が提案されている。
敵の強靭さを評価することは 極めて困難であることが分かりました
論文 参考訳(メタデータ) (2021-06-03T01:45:48Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - Targeted Attack against Deep Neural Networks via Flipping Limited Weight
Bits [55.740716446995805]
我々は,悪質な目的で展開段階におけるモデルパラメータを修飾する新しい攻撃パラダイムについて検討する。
私たちのゴールは、特定のサンプルをサンプル修正なしでターゲットクラスに誤分類することです。
整数プログラミングにおける最新の手法を利用することで、このBIP問題を連続最適化問題として等価に再構成する。
論文 参考訳(メタデータ) (2021-02-21T03:13:27Z) - Patch-wise++ Perturbation for Adversarial Targeted Attacks [132.58673733817838]
トランスファビリティの高い対比例の作成を目的としたパッチワイズ反復法(PIM)を提案する。
具体的には、各イテレーションのステップサイズに増幅係数を導入し、$epsilon$-constraintをオーバーフローする1ピクセルの全体的な勾配が、その周辺領域に適切に割り当てられる。
現在の攻撃方法と比較して、防御モデルでは35.9%、通常訓練されたモデルでは32.7%、成功率を大幅に向上させた。
論文 参考訳(メタデータ) (2020-12-31T08:40:42Z) - Patch-wise Attack for Fooling Deep Neural Network [153.59832333877543]
我々は,一般的な訓練と防御モデルに対するブラックボックス攻撃であるパッチワイド反復アルゴリズムを提案する。
我々は、防衛モデルで9.2%、通常訓練されたモデルで3.7%、成功率で著しく改善した。
論文 参考訳(メタデータ) (2020-07-14T01:50:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。