論文の概要: Feature Importance-aware Transferable Adversarial Attacks
- arxiv url: http://arxiv.org/abs/2107.14185v1
- Date: Thu, 29 Jul 2021 17:13:29 GMT
- ステータス: 処理完了
- システム内更新日: 2021-07-30 13:15:09.117775
- Title: Feature Importance-aware Transferable Adversarial Attacks
- Title(参考訳): 特徴量認識型トランスファーアタック
- Authors: Zhibo Wang, Hengchang Guo, Zhifei Zhang, Wenxin Liu, Zhan Qin, Kui Ren
- Abstract要約: 既存の移動可能な攻撃は、特徴を無差別に歪ませることで敵の例を作る傾向がある。
このようなブルート力の劣化は、モデル固有の局所最適化を敵の例に導入するであろうと論じる。
対照的に、重要なオブジェクト認識機能を妨害する特徴重要度認識攻撃(FIA)を提案する。
- 参考スコア(独自算出の注目度): 46.12026564065764
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Transferability of adversarial examples is of central importance for
attacking an unknown model, which facilitates adversarial attacks in more
practical scenarios, e.g., blackbox attacks. Existing transferable attacks tend
to craft adversarial examples by indiscriminately distorting features to
degrade prediction accuracy in a source model without aware of intrinsic
features of objects in the images. We argue that such brute-force degradation
would introduce model-specific local optimum into adversarial examples, thus
limiting the transferability. By contrast, we propose the Feature
Importance-aware Attack (FIA), which disrupts important object-aware features
that dominate model decisions consistently. More specifically, we obtain
feature importance by introducing the aggregate gradient, which averages the
gradients with respect to feature maps of the source model, computed on a batch
of random transforms of the original clean image. The gradients will be highly
correlated to objects of interest, and such correlation presents invariance
across different models. Besides, the random transforms will preserve intrinsic
features of objects and suppress model-specific information. Finally, the
feature importance guides to search for adversarial examples towards disrupting
critical features, achieving stronger transferability. Extensive experimental
evaluation demonstrates the effectiveness and superior performance of the
proposed FIA, i.e., improving the success rate by 8.4% against normally trained
models and 11.7% against defense models as compared to the state-of-the-art
transferable attacks. Code is available at: https://github.com/hcguoO0/FIA
- Abstract(参考訳): 敵の例の転送性は未知のモデルを攻撃する上で重要であり、ブラックボックス攻撃のようなより実用的なシナリオでの敵の攻撃を容易にする。
既存の転送可能な攻撃は、画像中のオブジェクトの固有の特徴を意識せずに、特徴を無差別に歪曲してソースモデルの予測精度を低下させることによって、敵の例を作る傾向にある。
このようなブルート力劣化は、モデル固有の局所最適化を敵の例に導入し、転送可能性を制限する。
対照的に、モデル決定を一貫して支配する重要なオブジェクト認識機能を妨害する特徴重要度認識攻撃(FIA)を提案する。
より具体的には、元のクリーン画像のランダム変換のバッチで計算されたソースモデルの特徴マップに対して、勾配を平均する集計勾配を導入することで、特徴量の重要性を得る。
勾配は興味のある対象と強く相関し、そのような相関は異なるモデルにまたがる不変性を示す。
さらに、ランダム変換はオブジェクトの固有の特徴を保持し、モデル固有の情報を抑制する。
最後に、特徴の重要性は、重要な特徴を破壊し、より強い伝達可能性を達成するための敵の例を探すためのガイドとなる。
広範囲な実験的評価は、提案されたFIAの有効性と優れた性能、すなわち、通常訓練されたモデルに対して8.4%、防衛モデルに対して11.7%の改善効果を示す。
コードは、https://github.com/hcguoO0/FIAで入手できる。
関連論文リスト
- Boosting the Targeted Transferability of Adversarial Examples via Salient Region & Weighted Feature Drop [2.176586063731861]
敵攻撃に対する一般的なアプローチは、敵の例の転送可能性に依存する。
SWFD(Salient Region & Weighted Feature Drop)をベースとした新しいフレームワークは,敵対的事例のターゲット転送可能性を高める。
論文 参考訳(メタデータ) (2024-11-11T08:23:37Z) - SA-Attack: Improving Adversarial Transferability of Vision-Language
Pre-training Models via Self-Augmentation [56.622250514119294]
ホワイトボックスの敵攻撃とは対照的に、転送攻撃は現実世界のシナリオをより反映している。
本稿では,SA-Attackと呼ばれる自己拡張型転送攻撃手法を提案する。
論文 参考訳(メタデータ) (2023-12-08T09:08:50Z) - An Adaptive Model Ensemble Adversarial Attack for Boosting Adversarial
Transferability [26.39964737311377]
我々はAdaEAと呼ばれる適応型アンサンブル攻撃を提案し、各モデルからの出力の融合を適応的に制御する。
我々は、様々なデータセットに対する既存のアンサンブル攻撃よりも大幅に改善した。
論文 参考訳(メタデータ) (2023-08-05T15:12:36Z) - Rethinking Model Ensemble in Transfer-based Adversarial Attacks [46.82830479910875]
転送可能性を改善する効果的な戦略は、モデルのアンサンブルを攻撃することである。
これまでの作業は、単に異なるモデルの出力を平均化するだけであった。
我々は、より移動可能な敵の例を生成するために、CWA(Common Weakness Attack)を提案する。
論文 参考訳(メタデータ) (2023-03-16T06:37:16Z) - Improving Adversarial Robustness to Sensitivity and Invariance Attacks
with Deep Metric Learning [80.21709045433096]
対向ロバスト性の標準的な方法は、サンプルを最小に摂動させることによって作られたサンプルに対して防御する枠組みを仮定する。
距離学習を用いて、最適輸送問題として逆正則化をフレーム化する。
予備的な結果から, 変分摂動の規則化は, 変分防御と敏感防御の両方を改善することが示唆された。
論文 参考訳(メタデータ) (2022-11-04T13:54:02Z) - Adv-Attribute: Inconspicuous and Transferable Adversarial Attack on Face
Recognition [111.1952945740271]
Adv-Attribute (Adv-Attribute) は、顔認証に対する不明瞭で伝達可能な攻撃を生成するように設計されている。
FFHQとCelebA-HQデータセットの実験は、提案されたAdv-Attributeメソッドが最先端の攻撃成功率を達成することを示している。
論文 参考訳(メタデータ) (2022-10-13T09:56:36Z) - Harnessing Perceptual Adversarial Patches for Crowd Counting [92.79051296850405]
群衆のカウントは、物理的な世界の敵の例に弱い。
本稿では,モデル間での知覚的特徴の共有を学習するためのPAP(Perceptual Adrial Patch)生成フレームワークを提案する。
論文 参考訳(メタデータ) (2021-09-16T13:51:39Z) - Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。
任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。
本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
論文 参考訳(メタデータ) (2021-05-31T17:01:05Z) - TREND: Transferability based Robust ENsemble Design [6.663641564969944]
本稿では, ネットワークアーキテクチャ, 入力, 重量, アクティベーションの量子化が, 対向サンプルの転送性に及ぼす影響について検討する。
本研究では,ソースとターゲット間の入力量子化によってトランスファービリティが著しく阻害されていることを示す。
我々は、これに対抗するために、新しい最先端のアンサンブル攻撃を提案する。
論文 参考訳(メタデータ) (2020-08-04T13:38:14Z) - Luring of transferable adversarial perturbations in the black-box
paradigm [0.0]
我々は、ブラックボックス転送攻撃に対するモデルの堅牢性を改善するための新しいアプローチを提案する。
除去可能な追加ニューラルネットワークが対象モデルに含まれており、テクスチャリング効果を誘導するように設計されている。
提案手法は,対象モデルの予測にのみアクセス可能であり,ラベル付きデータセットを必要としない。
論文 参考訳(メタデータ) (2020-04-10T06:48:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。