論文の概要: How to Robustify Black-Box ML Models? A Zeroth-Order Optimization
Perspective
- arxiv url: http://arxiv.org/abs/2203.14195v1
- Date: Sun, 27 Mar 2022 03:23:32 GMT
- ステータス: 処理完了
- システム内更新日: 2022-04-02 22:50:53.883919
- Title: How to Robustify Black-Box ML Models? A Zeroth-Order Optimization
Perspective
- Title(参考訳): Black-Box MLモデルのロバスト化方法
ゼロ次最適化の展望
- Authors: Yimeng Zhang, Yuguang Yao, Jinghan Jia, Jinfeng Yi, Mingyi Hong, Shiyu
Chang, Sijia Liu
- Abstract要約: 入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法?
我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。
我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
- 参考スコア(独自算出の注目度): 74.47093382436823
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The lack of adversarial robustness has been recognized as an important issue
for state-of-the-art machine learning (ML) models, e.g., deep neural networks
(DNNs). Thereby, robustifying ML models against adversarial attacks is now a
major focus of research. However, nearly all existing defense methods,
particularly for robust training, made the white-box assumption that the
defender has the access to the details of an ML model (or its surrogate
alternatives if available), e.g., its architectures and parameters. Beyond
existing works, in this paper we aim to address the problem of black-box
defense: How to robustify a black-box model using just input queries and output
feedback? Such a problem arises in practical scenarios, where the owner of the
predictive model is reluctant to share model information in order to preserve
privacy. To this end, we propose a general notion of defensive operation that
can be applied to black-box models, and design it through the lens of denoised
smoothing (DS), a first-order (FO) certified defense technique. To allow the
design of merely using model queries, we further integrate DS with the
zeroth-order (gradient-free) optimization. However, a direct implementation of
zeroth-order (ZO) optimization suffers a high variance of gradient estimates,
and thus leads to ineffective defense. To tackle this problem, we next propose
to prepend an autoencoder (AE) to a given (black-box) model so that DS can be
trained using variance-reduced ZO optimization. We term the eventual defense as
ZO-AE-DS. In practice, we empirically show that ZO-AE- DS can achieve improved
accuracy, certified robustness, and query complexity over existing baselines.
And the effectiveness of our approach is justified under both image
classification and image reconstruction tasks. Codes are available at
https://github.com/damon-demon/Black-Box-Defense.
- Abstract(参考訳): 敵対的堅牢性の欠如は、最先端機械学習(ML)モデル、例えばディープニューラルネットワーク(DNN)の重要な問題として認識されている。
これにより、敵攻撃に対するMLモデルの堅牢化が研究の大きな焦点となっている。
しかし、既存の防御手法のほとんど、特に堅牢な訓練のために、ディフェンダーがMLモデル(または可能であればそのサロゲート代替品)の詳細(例えばアーキテクチャやパラメータ)にアクセスできるというホワイトボックスの仮定を作った。
既存の作業以外にも,本論文では,ブラックボックス防御の問題に対処すべく,入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法について論じる。
このような問題は、予測モデルの所有者がプライバシを維持するためにモデル情報を共有することを嫌う、実用的なシナリオで発生する。
そこで本研究では,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,一階法(FO)認定防衛技術である denoized smoothing (DS) のレンズを用いて設計する。
モデルクエリを単に使用するための設計を可能にするため、DSをゼロ階(漸進自由)最適化と統合する。
しかし、ゼロ次最適化(zo)の直接実装は勾配推定のばらつきに苦しむため、非効率的な防御に繋がる。
この問題に対処するため,本稿では,分散還元ZO最適化を用いてDSをトレーニングできるように,与えられた(ブラックボックス)モデルにオートエンコーダ(AE)をプリペイドすることを提案する。
最終防衛をZO-AE-DSと呼ぶ。
実際に我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
また,提案手法の有効性は,画像分類と画像再構成課題の両方において正当化される。
コードはhttps://github.com/damon-demon/Black-Box-Defenseで入手できる。
関連論文リスト
- Black-Box Forgetting [8.84485103053191]
我々は,ブラックボックスフォーッティングというブラックボックスモデルの選択的忘れ問題に対処する。
本稿では,複数のトークン間で共通な低次元潜在成分をプロンプトに導入するLatent Context Sharingを提案する。
4つの標準ベンチマークデータセットに対する実験は、妥当なベースラインを持つ手法の優位性を実証している。
論文 参考訳(メタデータ) (2024-11-01T07:10:40Z) - Efficient Black-box Adversarial Attacks via Bayesian Optimization Guided by a Function Prior [36.101904669291436]
本稿では,入力クエリの出力フィードバックのみを用いて,ブラックボックスモデルに対するサンプル生成を目的としたブラックボックス逆攻撃について検討する。
ブラックボックス攻撃前の大域関数として代理モデルを利用する事前誘導ベイズ最適化(P-BO)アルゴリズムを提案する。
後悔境界に関する理論的解析は、P-BOの性能が悪影響を受けていることを示唆している。
論文 参考訳(メタデータ) (2024-05-29T14:05:16Z) - Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。
GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。
その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
論文 参考訳(メタデータ) (2023-10-25T03:30:42Z) - Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - DREAM: Domain-free Reverse Engineering Attributes of Black-box Model [51.37041886352823]
ブラックボックス対象モデルの属性をドメインに依存しないリバースエンジニアリングの新しい問題を提案する。
対象のブラックボックスモデルの属性を未知のトレーニングデータで推測するために,ドメインに依存しないモデルを学ぶ。
論文 参考訳(メタデータ) (2023-07-20T16:25:58Z) - T-SEA: Transfer-based Self-Ensemble Attack on Object Detection [9.794192858806905]
複数のブラックボックス検出器に対する高信頼度対向攻撃を実現するために, 1 つのモデルのみを用いて, モノ検出に対する単一モデル転送ベースブラックボックス攻撃を提案する。
我々は、パッチ最適化を正規モデル最適化と類似させ、入力データ、攻撃モデル、および敵パッチに一連の自己アンサンブルアプローチを提案する。
論文 参考訳(メタデータ) (2022-11-16T10:27:06Z) - Attackar: Attack of the Evolutionary Adversary [0.0]
本稿では、進化的、スコアベース、ブラックボックス攻撃であるtextitAttackarを紹介する。
アタッカーは、勾配のない最適化問題に使用できる新しい目的関数に基づいている。
以上の結果から,精度とクエリ効率の両面で,Attackarの優れた性能を示す。
論文 参考訳(メタデータ) (2022-08-17T13:57:23Z) - Defending Variational Autoencoders from Adversarial Attacks with MCMC [74.36233246536459]
変分オートエンコーダ(VAE)は、様々な領域で使用される深部生成モデルである。
以前の研究が示すように、視覚的にわずかに修正された入力に対する予期せぬ潜在表現と再構成を生成するために、VAEを簡単に騙すことができる。
本稿では, 敵攻撃構築のための目的関数について検討し, モデルのロバスト性を評価する指標を提案し, 解決策を提案する。
論文 参考訳(メタデータ) (2022-03-18T13:25:18Z) - Learning Black-Box Attackers with Transferable Priors and Query Feedback [40.41083684665537]
本稿では,被害者モデルの分類信頼度のみを利用できるブラックボックス敵攻撃問題に対処する。
異なる視覚モデル間の視覚的サリエンシの整合性から着想を得たサロゲートモデルでは,移動性による攻撃性能の向上が期待されている。
シュロゲートモデルを用いた驚くほど単純なベースラインアプローチ(SimBA++)を提案する。
論文 参考訳(メタデータ) (2020-10-21T05:43:11Z) - Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。
NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
論文 参考訳(メタデータ) (2020-09-24T06:22:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。