論文の概要: Breaking the De-Pois Poisoning Defense
- arxiv url: http://arxiv.org/abs/2204.01090v1
- Date: Sun, 3 Apr 2022 15:17:47 GMT
- ステータス: 処理完了
- システム内更新日: 2022-04-06 07:35:58.343025
- Title: Breaking the De-Pois Poisoning Defense
- Title(参考訳): De-Pois Poisoning Defenseを破る
- Authors: Alaa Anani, Mohamed Ghanem and Lotfy Abdel Khaliq
- Abstract要約: 我々は、アタック非依存のデポア防衛は、このルールの例外ではないことを示す。
本研究では,批判モデルと対象モデルの両方に対して,同時にグラデーション・サイン・アタックを行うことにより,この毒性保護層を破る。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Attacks on machine learning models have been, since their conception, a very
persistent and evasive issue resembling an endless cat-and-mouse game. One
major variant of such attacks is poisoning attacks which can indirectly
manipulate an ML model. It has been observed over the years that the majority
of proposed effective defense models are only effective when an attacker is not
aware of them being employed. In this paper, we show that the attack-agnostic
De-Pois defense is hardly an exception to that rule. In fact, we demonstrate
its vulnerability to the simplest White-Box and Black-Box attacks by an
attacker that knows the structure of the De-Pois defense model. In essence, the
De-Pois defense relies on a critic model that can be used to detect poisoned
data before passing it to the target model. In our work, we break this
poison-protection layer by replicating the critic model and then performing a
composed gradient-sign attack on both the critic and target models
simultaneously -- allowing us to bypass the critic firewall to poison the
target model.
- Abstract(参考訳): 機械学習モデルに対する攻撃は、その概念以来、終わりのない猫とマウスのゲームのような非常に永続的で回避的な問題だった。
このような攻撃の主な変種は、mlモデルを間接的に操作できる毒殺攻撃である。
長年にわたり、提案された効果的な防御モデルの大部分は、攻撃者が採用されていることを認識していない場合にのみ有効であることが観察されてきた。
本稿では,攻撃非依存のデポア防御は,そのルールの例外ではないことを示す。
実際、この脆弱性はデポア防御モデルの構造を知っている攻撃者による最も単純なホワイトボックスおよびブラックボックス攻撃に対するものである。
本質的には、De-Poisディフェンスは、ターゲットモデルに渡す前に、毒データを検出するために使用できる批判モデルに依存している。
私たちの研究では、この毒物保護層を、批評家モデルを複製して、批評家とターゲットの両方のモデルを同時に構成したグラデーションサインアタックを実行することで壊します。
関連論文リスト
- Diffusion Denoising as a Certified Defense against Clean-label Poisoning [56.04951180983087]
本稿では,市販の拡散モデルを用いて,改ざんしたトレーニングデータを浄化する方法を示す。
7件のクリーンラベル中毒に対する我々の防御を広範囲に検証し、その攻撃成功率を0-16%に抑え、テスト時間の精度は無視できない程度に低下した。
論文 参考訳(メタデータ) (2024-03-18T17:17:07Z) - Pick your Poison: Undetectability versus Robustness in Data Poisoning
Attacks [33.82164201455115]
大量のWebスクラッドデータに基づいてトレーニングされた深層画像分類モデルは、データ中毒の影響を受けやすい。
既存の作業は、効果的な防御を、(i)修理によってモデルの整合性を回復するか、(ii)攻撃を検出するものと見なしている。
我々は、このアプローチが重要なトレードオフを見落としていると論じている。攻撃者は、検知可能性(過剰投下)を犠牲にして増加したり、ロバスト性(過密投下)を犠牲にして検出可能性を減らすことができる。
論文 参考訳(メタデータ) (2023-05-07T15:58:06Z) - De-Pois: An Attack-Agnostic Defense against Data Poisoning Attacks [17.646155241759743]
De-Poisは、中毒攻撃に対する攻撃に依存しない防御です。
我々は,4種類の毒殺攻撃を実施,5種類の典型的な防御方法を用いてデポアを評価する。
論文 参考訳(メタデータ) (2021-05-08T04:47:37Z) - What Doesn't Kill You Makes You Robust(er): Adversarial Training against
Poisons and Backdoors [57.040948169155925]
敵対的なトレーニングフレームワークを拡張し、(訓練時間)中毒やバックドア攻撃から防御します。
本手法は, トレーニング中に毒を発生させ, トレーニングバッチに注入することにより, ネットワークを中毒の影響に敏感化する。
この防御は、適応攻撃に耐え、多様な脅威モデルに一般化し、以前の防御よりも優れた性能のトレードオフをもたらすことを示す。
論文 参考訳(メタデータ) (2021-02-26T17:54:36Z) - Concealed Data Poisoning Attacks on NLP Models [56.794857982509455]
逆攻撃はテスト時間入力の摂動によってNLPモデル予測を変化させる。
我々は,入力に所望のトリガーフレーズが存在する場合,相手がモデル予測を制御できる新しいデータ中毒攻撃を開発した。
論文 参考訳(メタデータ) (2020-10-23T17:47:06Z) - Witches' Brew: Industrial Scale Data Poisoning via Gradient Matching [56.280018325419896]
Data Poisoning攻撃は、トレーニングデータを変更して、そのようなデータでトレーニングされたモデルを悪意を持って制御する。
我々は「スクラッチから」と「クリーンラベルから」の両方である特に悪意のある毒物攻撃を分析します。
フルサイズで有毒なImageNetデータセットをスクラッチからトレーニングした現代のディープネットワークにおいて、ターゲットの誤分類を引き起こすのは、これが初めてであることを示す。
論文 参考訳(メタデータ) (2020-09-04T16:17:54Z) - Label-Only Membership Inference Attacks [67.46072950620247]
ラベルのみのメンバシップ推論攻撃を導入する。
我々の攻撃は、摂動下でのモデルが予測するラベルの堅牢性を評価する。
差分プライバシーと(強い)L2正規化を備えたトレーニングモデルは、唯一知られている防衛戦略である。
論文 参考訳(メタデータ) (2020-07-28T15:44:31Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。