論文の概要: Local Reweighting for Adversarial Training
- arxiv url: http://arxiv.org/abs/2106.15776v1
- Date: Wed, 30 Jun 2021 02:11:09 GMT
- ステータス: 処理完了
- システム内更新日: 2021-07-01 15:26:46.552197
- Title: Local Reweighting for Adversarial Training
- Title(参考訳): 対向訓練における局所的重み付け
- Authors: Ruize Gao, Feng Liu, Kaiwen Zhou, Gang Niu, Bo Han, James Cheng
- Abstract要約: インスタンス再重み付き敵訓練(IRAT)は、訓練されたモデルの堅牢性を大幅に向上させることができる。
提案する解法は、局所的再重み付き対向訓練(LRAT)である。
実験の結果、LRATはIRAT(世界再重み付け)と標準AT(再重み付けなし)の両方よりも、攻撃で訓練され、異なる攻撃で試験される。
- 参考スコア(独自算出の注目度): 38.2712733446643
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Instances-reweighted adversarial training (IRAT) can significantly boost the
robustness of trained models, where data being less/more vulnerable to the
given attack are assigned smaller/larger weights during training. However, when
tested on attacks different from the given attack simulated in training, the
robustness may drop significantly (e.g., even worse than no reweighting). In
this paper, we study this problem and propose our solution--locally reweighted
adversarial training (LRAT). The rationale behind IRAT is that we do not need
to pay much attention to an instance that is already safe under the attack. We
argue that the safeness should be attack-dependent, so that for the same
instance, its weight can change given different attacks based on the same
model. Thus, if the attack simulated in training is mis-specified, the weights
of IRAT are misleading. To this end, LRAT pairs each instance with its
adversarial variants and performs local reweighting inside each pair, while
performing no global reweighting--the rationale is to fit the instance itself
if it is immune to the attack, but not to skip the pair, in order to passively
defend different attacks in future. Experiments show that LRAT works better
than both IRAT (i.e., global reweighting) and the standard AT (i.e., no
reweighting) when trained with an attack and tested on different attacks.
- Abstract(参考訳): インスタンス再重み付き敵訓練(IRAT)は、トレーニング中により小さい/より弱いデータが割り当てられる訓練モデルの堅牢性を大幅に向上させる。
しかし、訓練でシミュレートされた攻撃とは異なる攻撃でテストすると、ロバスト性は著しく低下する(例えば、再重み付けをしないよりもさらに悪い)。
本稿では,この問題を考察し,解法-局所再重み付き逆行訓練(LRAT)を提案する。
IRATの背後にある理論的根拠は、攻撃下ですでに安全であるインスタンスに注意を払わなくてもよいということです。
安全性は攻撃依存であるべきだと我々は主張するので、同じ場合、その重みは同じモデルに基づいて異なる攻撃を与えることができる。
したがって、訓練でシミュレーションされた攻撃が誤って特定された場合、IRATの重みは誤解を招く。
この目的のために、LRATは各インスタンスを敵の変種と組み合わせ、各インスタンス内で局所的な再重み付けを行うが、グローバルな再重み付けは行わない。
実験の結果、LRATはIRAT(世界再重み付け)と標準AT(再重み付けなし)の両方よりも、攻撃で訓練し、異なる攻撃でテストした場合に優れていることが示された。
関連論文リスト
- Versatile Defense Against Adversarial Attacks on Image Recognition [2.9980620769521513]
現実の環境での敵の攻撃に対する防御は、アンチウイルスソフトの動作方法と比較することができる。
画像から画像への翻訳をベースとした防御手法が実現可能であると考えられる。
訓練されたモデルは、分類精度をほぼゼロから平均86%に改善した。
論文 参考訳(メタデータ) (2024-03-13T01:48:01Z) - Vulnerability-Aware Instance Reweighting For Adversarial Training [4.874780144224057]
対人訓練(AT)は、対人攻撃に対する深層学習分類器の堅牢性を大幅に向上させることが知られている。
ATはトレーニングセットの異なるクラスに不均一な影響を及ぼし、本質的に分類するのが難しいクラスに対応する例を不公平に傷つけます。
トレーニングセットにおける個々の例のロバストな損失に不等重みを割り当てる様々な再重み付けスキームが提案されている。
そこで本研究では,各自然事例の脆弱性と,敵攻撃時に発生する敵に対する情報損失について考察する。
論文 参考訳(メタデータ) (2023-07-14T05:31:32Z) - Membership Inference Attacks From First Principles [24.10746844866869]
メンバシップ推論攻撃では、トレーニングされた機械学習モデルをクエリして、モデルのトレーニングデータセットに特定のサンプルが含まれているかどうかを予測することが可能になる。
これらの攻撃は現在、平均ケースの"精度"メトリクスを使用して評価されており、攻撃がトレーニングセットの任意のメンバを確実に識別できるかどうかを特徴付けることができない。
攻撃は偽陽性率の低い偽陽性率で計算することで評価されるべきであり、このような評価を行った場合、ほとんどの事前攻撃は不十分である。
我々の攻撃は偽陽性率の低いところで10倍強力であり、既存の指標に対する以前の攻撃を厳密に支配している。
論文 参考訳(メタデータ) (2021-12-07T08:47:00Z) - Adversarial Transfer Attacks With Unknown Data and Class Overlap [19.901933940805684]
現在の移動攻撃の研究は、攻撃者にとって非現実的な優位性を持っている。
攻撃者および被害者が不完全な設定で利用可能なデータに着目した敵攻撃の転送に関する最初の研究について述べる。
この脅威モデルは、医学、マルウェアなどの応用に関係している。
論文 参考訳(メタデータ) (2021-09-23T03:41:34Z) - Universal Adversarial Training with Class-Wise Perturbations [78.05383266222285]
敵の訓練は 敵の攻撃を防御するために 最も広く使われる方法です
この作業では、UAPがすべてのクラスを等しく攻撃しないことがわかります。
我々は,対人訓練におけるクラスワイドUAPの利用を提案することで,SOTA UATを改善した。
論文 参考訳(メタデータ) (2021-04-07T09:05:49Z) - What Doesn't Kill You Makes You Robust(er): Adversarial Training against
Poisons and Backdoors [57.040948169155925]
敵対的なトレーニングフレームワークを拡張し、(訓練時間)中毒やバックドア攻撃から防御します。
本手法は, トレーニング中に毒を発生させ, トレーニングバッチに注入することにより, ネットワークを中毒の影響に敏感化する。
この防御は、適応攻撃に耐え、多様な脅威モデルに一般化し、以前の防御よりも優れた性能のトレードオフをもたらすことを示す。
論文 参考訳(メタデータ) (2021-02-26T17:54:36Z) - Are Adversarial Examples Created Equal? A Learnable Weighted Minimax
Risk for Robustness under Non-uniform Attacks [70.11599738647963]
敵の訓練は、強力な攻撃に耐える数少ない防衛の1つである。
従来の防御機構は、基礎となるデータ分布に従って、サンプルに対する均一な攻撃を前提とします。
非一様攻撃に対して重み付けされたミニマックスリスク最適化を提案する。
論文 参考訳(メタデータ) (2020-10-24T21:20:35Z) - Weight Poisoning Attacks on Pre-trained Models [103.19413805873585]
本研究は, バックドアを微調整した後に, バックドアを露出する脆弱性を伴って, 事前訓練した重量を注入した場合に, 重量中毒を発生させることが可能であることを示す。
感情分類,毒性検出,スパム検出に関する実験により,この攻撃は広く適用可能であり,深刻な脅威となることが示された。
論文 参考訳(メタデータ) (2020-04-14T16:51:42Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。