論文の概要: Adversarial Transfer Attacks With Unknown Data and Class Overlap
- arxiv url: http://arxiv.org/abs/2109.11125v1
- Date: Thu, 23 Sep 2021 03:41:34 GMT
- ステータス: 処理完了
- システム内更新日: 2021-09-24 15:09:35.529722
- Title: Adversarial Transfer Attacks With Unknown Data and Class Overlap
- Title(参考訳): 未知データとクラス重なりを持つ逆転送攻撃
- Authors: Luke E. Richards, Andr\'e Nguyen, Ryan Capps, Steven Forsythe, Cynthia
Matuszek, Edward Raff
- Abstract要約: 現在の移動攻撃の研究は、攻撃者にとって非現実的な優位性を持っている。
攻撃者および被害者が不完全な設定で利用可能なデータに着目した敵攻撃の転送に関する最初の研究について述べる。
この脅威モデルは、医学、マルウェアなどの応用に関係している。
- 参考スコア(独自算出の注目度): 19.901933940805684
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The ability to transfer adversarial attacks from one model (the surrogate) to
another model (the victim) has been an issue of concern within the machine
learning (ML) community. The ability to successfully evade unseen models
represents an uncomfortable level of ease toward implementing attacks. In this
work we note that as studied, current transfer attack research has an
unrealistic advantage for the attacker: the attacker has the exact same
training data as the victim. We present the first study of transferring
adversarial attacks focusing on the data available to attacker and victim under
imperfect settings without querying the victim, where there is some variable
level of overlap in the exact data used or in the classes learned by each
model. This threat model is relevant to applications in medicine, malware, and
others. Under this new threat model attack success rate is not correlated with
data or class overlap in the way one would expect, and varies with dataset.
This makes it difficult for attacker and defender to reason about each other
and contributes to the broader study of model robustness and security. We
remedy this by developing a masked version of Projected Gradient Descent that
simulates class disparity, which enables the attacker to reliably estimate a
lower-bound on their attack's success.
- Abstract(参考訳): あるモデル(サロゲート)から別のモデル(犠牲者)に敵攻撃を転送する能力は、機械学習(ML)コミュニティにおいて問題となっている。
目に見えないモデルを避ける能力は、攻撃を実装するための不快なレベルの容易さを示している。
この研究では、現在の転送攻撃の研究は攻撃者にとって非現実的な利点を持っていることに注意する。
本稿では,攻撃者や被害者が不完全な設定で使用可能なデータに焦点を絞った攻撃を,被害者に問い合わせることなく転送する最初の研究について述べる。
この脅威モデルは、医学、マルウェアなどの応用に関係している。
この新たな脅威モデルの下では、攻撃の成功率はデータやクラスの重複と相関せず、データセットによって異なる。
これにより、アタッカーとディフェンダーが互いに推論することが難しくなり、モデルの堅牢性とセキュリティに関するより広範な研究に寄与する。
我々は、攻撃者が攻撃の成功に対して確実に低いバウンドを推定できるクラス格差をシミュレートする、プロジェクテッド・グラディエント・ダイス(英語版)のマスク版を開発することでこれを改善した。
関連論文リスト
- Wicked Oddities: Selectively Poisoning for Effective Clean-Label Backdoor Attacks [11.390175856652856]
クリーンラベル攻撃は、毒性のあるデータのラベルを変更することなく攻撃を行うことができる、よりステルスなバックドア攻撃である。
本研究は,攻撃成功率を高めるために,標的クラス内の少数の訓練サンプルを選択的に毒殺する方法について検討した。
私たちの脅威モデルは、サードパーティのデータセットで機械学習モデルをトレーニングする上で深刻な脅威となる。
論文 参考訳(メタデータ) (2024-07-15T15:38:21Z) - Your Attack Is Too DUMB: Formalizing Attacker Scenarios for Adversarial
Transferability [17.899587145780817]
侵入攻撃は機械学習モデルに対する脅威であり、敵は悪意のあるサンプルを注入することで分類に影響を与えようとする。
本研究では,サロゲートモデルと被害者モデルの訓練条件が異なる場合の回避攻撃が転送に失敗するかどうかを解析できるDUMB攻撃モデルを提案する。
14件の異なる攻撃に対して13Kの試験を行った結果,サロゲートモデルを用いた移動可能な攻撃範囲の新たな発見が得られた。
論文 参考訳(メタデータ) (2023-06-27T10:21:27Z) - Can Adversarial Examples Be Parsed to Reveal Victim Model Information? [62.814751479749695]
本研究では,データ固有の敵インスタンスから,データに依存しない被害者モデル(VM)情報を推測できるかどうかを問う。
我々は,135件の被害者モデルから生成された7種類の攻撃に対して,敵攻撃のデータセットを収集する。
単純な教師付きモデル解析ネットワーク(MPN)は、見えない敵攻撃からVM属性を推測できることを示す。
論文 参考訳(メタデータ) (2023-03-13T21:21:49Z) - Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack [53.032801921915436]
HAR(Human Activity Recognition)は、自動運転車など、幅広い用途に採用されている。
近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。
攻撃者がモデルの入出力しかアクセスできない場合でも、そのような脅威が存在することを示す。
BASARと呼ばれる骨格をベースとしたHARにおいて,最初のブラックボックス攻撃手法を提案する。
論文 参考訳(メタデータ) (2022-11-21T09:51:28Z) - Learning to Learn Transferable Attack [77.67399621530052]
転送逆行攻撃は非自明なブラックボックス逆行攻撃であり、サロゲートモデル上で敵の摂動を発生させ、そのような摂動を被害者モデルに適用することを目的としている。
本研究では,データとモデル拡張の両方から学習することで,敵の摂動をより一般化する学習可能な攻撃学習法(LLTA)を提案する。
提案手法の有効性を実証し, 現状の手法と比較して, 12.85%のトランスファー攻撃の成功率で検証した。
論文 参考訳(メタデータ) (2021-12-10T07:24:21Z) - Manipulating SGD with Data Ordering Attacks [23.639512087220137]
基礎となるモデルデータセットやアーキテクチャを変更する必要のない,一連のトレーニングタイムアタックを提示する。
特に、アタッカーはトレーニングバッチをリオーダーするだけでモデルの完全性と可用性を損なう可能性がある。
攻撃は、攻撃後数百エポックというモデル性能を低下させるという長期的な影響をもたらす。
論文 参考訳(メタデータ) (2021-04-19T22:17:27Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Sampling Attacks: Amplification of Membership Inference Attacks by
Repeated Queries [74.59376038272661]
本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。
ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。
防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
論文 参考訳(メタデータ) (2020-09-01T12:54:54Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。