論文の概要: EvoBA: An Evolution Strategy as a Strong Baseline forBlack-Box
Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2107.05754v1
- Date: Mon, 12 Jul 2021 21:55:01 GMT
- ステータス: 処理完了
- システム内更新日: 2021-07-15 02:08:35.741296
- Title: EvoBA: An Evolution Strategy as a Strong Baseline forBlack-Box
Adversarial Attacks
- Title(参考訳): EvoBA: ブラックボックス攻撃の強力なベースラインとしての進化戦略
- Authors: Andrei Ilie, Marius Popescu, Alin Stefanescu
- Abstract要約: 我々は、驚くほど単純な進化的探索戦略に基づいて、ブラックボックスの敵攻撃を提案する。
$textbfEvoBA$は、より複雑な最先端攻撃と一致した結果を通じて、効率性と有効性を示す。
- 参考スコア(独自算出の注目度): 6.338178373376446
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Recent work has shown how easily white-box adversarial attacks can be applied
to state-of-the-art image classifiers. However, real-life scenarios resemble
more the black-box adversarial conditions, lacking transparency and usually
imposing natural, hard constraints on the query budget.
We propose $\textbf{EvoBA}$, a black-box adversarial attack based on a
surprisingly simple evolutionary search strategy. $\textbf{EvoBA}$ is
query-efficient, minimizes $L_0$ adversarial perturbations, and does not
require any form of training.
$\textbf{EvoBA}$ shows efficiency and efficacy through results that are in
line with much more complex state-of-the-art black-box attacks such as
$\textbf{AutoZOOM}$. It is more query-efficient than $\textbf{SimBA}$, a simple
and powerful baseline black-box attack, and has a similar level of complexity.
Therefore, we propose it both as a new strong baseline for black-box
adversarial attacks and as a fast and general tool for gaining empirical
insight into how robust image classifiers are with respect to $L_0$ adversarial
perturbations.
There exist fast and reliable $L_2$ black-box attacks, such as
$\textbf{SimBA}$, and $L_{\infty}$ black-box attacks, such as
$\textbf{DeepSearch}$. We propose $\textbf{EvoBA}$ as a query-efficient $L_0$
black-box adversarial attack which, together with the aforementioned methods,
can serve as a generic tool to assess the empirical robustness of image
classifiers. The main advantages of such methods are that they run fast, are
query-efficient, and can easily be integrated in image classifiers development
pipelines.
While our attack minimises the $L_0$ adversarial perturbation, we also report
$L_2$, and notice that we compare favorably to the state-of-the-art $L_2$
black-box attack, $\textbf{AutoZOOM}$, and of the $L_2$ strong baseline,
$\textbf{SimBA}$.
- Abstract(参考訳): 近年の研究では、最先端の画像分類器に対して、ホワイトボックスの敵攻撃がいかに容易に適用できるかが示されている。
しかし、実際のシナリオは、よりブラックボックスの敵条件に似ており、透明性がなく、通常、クエリ予算に自然で厳しい制約を課す。
我々は、驚くほど単純な進化的探索戦略に基づくブラックボックス攻撃である$\textbf{EvoBA}$を提案する。
$\textbf{evoba}$はクエリ効率が高く、$l_0$の逆摂動を最小限に抑え、いかなる形式のトレーニングも必要としない。
$\textbf{evoba}$は、$\textbf{autozoom}$のようなより複雑なブラックボックス攻撃と一致する結果を通じて効率性と有効性を示す。
これは、単純で強力なベースラインブラックボックス攻撃である$\textbf{SimBA}$よりもクエリ効率が良く、同様のレベルの複雑さがある。
そこで本稿では,ブラックボックス攻撃の新たな強力なベースラインとして,画像分類器が$L_0$逆方向摂動に対していかに頑健であるかを実証的に把握するための,高速かつ汎用的なツールとして提案する。
高速で信頼性の高い$L_2$ブラックボックス攻撃があり、例えば$\textbf{SimBA}$や$L_{\infty}$ブラックボックス攻撃、例えば$\textbf{DeepSearch}$がある。
我々は,上記の手法と合わせて,画像分類器のロバスト性を評価する汎用ツールとして機能する,クエリ効率の高い$l_0$ブラックボックス攻撃として$\textbf{evoba}$を提案する。
このような方法の主な利点は、高速で、クエリ効率が高く、画像分類器の開発パイプラインに簡単に統合できる点である。
我々の攻撃は、$L_0$逆転摂動を最小化するが、$L_2$を報告し、最先端の$L_2$ black-box attack、$\textbf{AutoZOOM}$、$L_2$ strong baseline、$\textbf{SimBA}$と比較する。
関連論文リスト
- Deep Adversarial Defense Against Multilevel-Lp Attacks [5.604868766260297]
本稿では,EMRC法 (Efficient Robust Mode Connectivity) と呼ばれる,計算効率の良いマルチレベル$ell_p$ディフェンスを提案する。
連続最適化で用いられる解析的継続アプローチと同様に、この手法は2つの$p$特化逆最適化モデルをブレンドする。
我々は,AT-$ell_infty$,E-AT,MSDと比較して,本手法が様々な攻撃に対して優れていることを示す実験を行った。
論文 参考訳(メタデータ) (2024-07-12T13:30:00Z) - $σ$-zero: Gradient-based Optimization of $\ell_0$-norm Adversarial Examples [14.17412770504598]
入力摂動の作成には$ell_infty$-normの制約が使用できることを示す。
我々は $sigma$-norm と呼ばれる新しい $ell_infty$-norm 攻撃を提案する。
これは、成功、サイズ、効率の点で競合するすべての敵攻撃を上回っます。
論文 参考訳(メタデータ) (2024-02-02T20:08:11Z) - QuadAttack: A Quadratic Programming Approach to Ordered Top-K Attacks [8.826642352173035]
ディープニューラルネットワーク(DNN)の敵対的脆弱性は広く知られ、広く懸念されている。
本稿は、攻撃的な最上位の$K$攻撃を学習することで、この懸念がはるかに深刻であることを示している。
論文 参考訳(メタデータ) (2023-12-12T05:08:45Z) - Coordinated Attacks against Contextual Bandits: Fundamental Limits and
Defense Mechanisms [75.17357040707347]
オンラインレコメンデーションシステムによってモチベーションされた我々は,文脈的包帯における最適政策の発見問題を提案する。
目標は、優れたユーザに対する報酬を可能な限り少ないユーザインタラクションで最大化するポリシーを、しっかりと学習することだ。
効率的なロバストな平均推定器を用いることで、$tildeO(min(S,A)cdot alpha/epsilon2)$ upper-boundを実現できることを示す。
論文 参考訳(メタデータ) (2022-01-30T01:45:13Z) - Adversarial Attacks on Gaussian Process Bandits [47.84198626686564]
本研究では,攻撃者の強さや事前情報に異なる仮定で様々な敵攻撃手法を提案する。
我々の目標は,GPバンディットに対する敵攻撃を理論的・実践的両面から理解することである。
GP帯域に対する敵攻撃は,攻撃予算が低い場合でも,$mathcalR_rmターゲットに対してアルゴリズムを強制的に強制することに成功した。
論文 参考訳(メタデータ) (2021-10-16T02:39:10Z) - Composite Adversarial Attacks [57.293211764569996]
敵対攻撃は、機械学習(ML)モデルを欺くための技術です。
本論文では,攻撃アルゴリズムの最適組み合わせを自動的に探索するための複合攻撃法(Composite Adrial Attack,CAA)を提案する。
CAAは11の防衛でトップ10の攻撃を破り、時間の経過は少ない。
論文 参考訳(メタデータ) (2020-12-10T03:21:16Z) - Simple and Efficient Hard Label Black-box Adversarial Attacks in Low
Query Budget Regimes [80.9350052404617]
そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。
高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。
提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
論文 参考訳(メタデータ) (2020-07-13T04:34:57Z) - Sparse-RS: a versatile framework for query-efficient sparse black-box
adversarial attacks [64.03012884804458]
ブラックボックス設定におけるスパース攻撃および未標的攻撃に対するランダム探索に基づく多目的フレームワークであるSparse-RSを提案する。
Sparse-RSは代替モデルに依存しておらず、複数のスパース攻撃モデルに対して最先端の成功率とクエリ効率を達成する。
論文 参考訳(メタデータ) (2020-06-23T08:50:37Z) - Spanning Attack: Reinforce Black-box Attacks with Unlabeled Data [96.92837098305898]
Black-box攻撃は、機械学習モデルのインプット・アウトプットペアをクエリすることで、敵の摂動を発生させることを目的としている。
ブラックボックス攻撃はしばしば、入力空間の高次元性のためにクエリ非効率性の問題に悩まされる。
本研究では,低次元部分空間における逆摂動を,補助的なラベルのないデータセットに分散させることで抑制するスパンニング攻撃と呼ばれる新しい手法を提案する。
論文 参考訳(メタデータ) (2020-05-11T05:57:15Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。