論文の概要: Demystifying the Adversarial Robustness of Random Transformation
Defenses
- arxiv url: http://arxiv.org/abs/2207.03574v1
- Date: Sat, 18 Jun 2022 04:14:38 GMT
- ステータス: 処理完了
- システム内更新日: 2022-07-17 17:04:33.375921
- Title: Demystifying the Adversarial Robustness of Random Transformation
Defenses
- Title(参考訳): ランダム・トランスフォーメーション・ディフェンスの対向ロバスト性
- Authors: Chawin Sitawarin, Zachary Golan-Strieb, David Wagner
- Abstract要約: ランダムプロパティ(RT)を使ったディフェンスは、特にImageNet上のBaRT(Raff et al.)のような印象的な結果を示している。
それらの特性は評価をより困難にし、決定論的モデルに対する多くの提案された攻撃を適用不可能にする。
BaRTの評価に使用されるBPDA攻撃(Athalye et al., 2018a)は効果がなく、その堅牢性を過大評価している可能性が示唆された。
我々はRT防御を評価するための最強の攻撃を作成します。我々の新しい攻撃はベースラインを大幅に上回り、一般的に使用されるEoT攻撃(4.3倍=改善)と比較して精度を83%削減します。
- 参考スコア(独自算出の注目度): 6.2890690009919314
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Neural networks' lack of robustness against attacks raises concerns in
security-sensitive settings such as autonomous vehicles. While many
countermeasures may look promising, only a few withstand rigorous evaluation.
Defenses using random transformations (RT) have shown impressive results,
particularly BaRT (Raff et al., 2019) on ImageNet. However, this type of
defense has not been rigorously evaluated, leaving its robustness properties
poorly understood. Their stochastic properties make evaluation more challenging
and render many proposed attacks on deterministic models inapplicable. First,
we show that the BPDA attack (Athalye et al., 2018a) used in BaRT's evaluation
is ineffective and likely overestimates its robustness. We then attempt to
construct the strongest possible RT defense through the informed selection of
transformations and Bayesian optimization for tuning their parameters.
Furthermore, we create the strongest possible attack to evaluate our RT
defense. Our new attack vastly outperforms the baseline, reducing the accuracy
by 83% compared to the 19% reduction by the commonly used EoT attack
($4.3\times$ improvement). Our result indicates that the RT defense on the
Imagenette dataset (a ten-class subset of ImageNet) is not robust against
adversarial examples. Extending the study further, we use our new attack to
adversarially train RT defense (called AdvRT), resulting in a large robustness
gain. Code is available at
https://github.com/wagnergroup/demystify-random-transform.
- Abstract(参考訳): ニューラルネットワークによる攻撃に対する堅牢性の欠如は、自動運転車のようなセキュリティに敏感な設定の懸念を引き起こす。
多くの対策が期待できるように見えるが、厳格な評価に耐えられるものはわずかである。
ランダムトランスフォーメーション(RT)を使ったディフェンスでは、特にImageNet上のBaRT(Raff et al., 2019)が印象的な結果を示している。
しかし、この種の防御は厳密には評価されておらず、堅牢性はよく分かっていない。
これらの確率的特性は評価をより困難にし、決定論的モデルに対する多くの提案された攻撃を適用不能にする。
まず, BaRT の評価に使用される BPDA 攻撃 (Athalye et al., 2018a) が非効率であり, その頑健さを過大評価していることを示す。
次に、変換の情報選択とパラメータの調整のためのベイズ最適化により、最強のRTディフェンスの構築を試みる。
さらに、RT防御を評価するための最強の攻撃を作成する。
私たちの新たな攻撃はベースラインを大幅に上回り、一般的に使用されるEoT攻撃(4.3\times$ Improvement)による19%の削減に比べて精度が83%低下します。
その結果、Imagenetteデータセット(ImageNetの10クラスのサブセット)のRT防御は、敵の例に対して堅牢ではないことが示唆された。
研究をさらに進めると、我々の新たな攻撃でRT防衛(AdvRT)を敵に訓練し、その結果、ロバスト性が大きく向上する。
コードはhttps://github.com/wagnergroup/demystify-random-transformで入手できる。
関連論文リスト
- Closing the Gap: Achieving Better Accuracy-Robustness Tradeoffs against Query-Based Attacks [1.54994260281059]
クエリベースの攻撃を緩和する上で、ロバスト性と精度の確固たるトレードオフを、テスト時に効率的に確立する方法を示す。
我々のアプローチは訓練とは無関係であり、理論に支えられている。
論文 参考訳(メタデータ) (2023-12-15T17:02:19Z) - Hindering Adversarial Attacks with Multiple Encrypted Patch Embeddings [13.604830818397629]
効率性とロバスト性の両方に着目したキーベースの新たな防衛手法を提案する。
我々は,(1)効率的なトレーニングと(2)任意ランダム化という2つの大きな改善をともなう,以前の防衛基盤を構築した。
実験はImageNetデータセット上で行われ、提案された防御は最先端の攻撃兵器に対して評価された。
論文 参考訳(メタデータ) (2023-09-04T14:08:34Z) - The Best Defense is a Good Offense: Adversarial Augmentation against
Adversarial Attacks [91.56314751983133]
A5$は、手元の入力に対する攻撃が失敗することを保証するために防御的摂動を構築するためのフレームワークである。
我々は,地上の真理ラベルを無視するロバスト化ネットワークを用いて,実機での防御強化を効果的に示す。
また、A5$を適用して、確実に堅牢な物理オブジェクトを作成する方法も示します。
論文 参考訳(メタデータ) (2023-05-23T16:07:58Z) - Are Defenses for Graph Neural Networks Robust? [72.1389952286628]
グラフニューラルネットワーク(GNN)のディフェンスのほとんどは、未定義のベースラインに比べて、限界的な改善がまったく、あるいはのみであることを示す。
我々は、カスタムアダプティブアタックをゴールドスタンダードとして使用することを提唱し、そのようなアタックをうまく設計して学んだ教訓を概説する。
私たちの多彩な摂動グラフのコレクションは、モデルの堅牢性について一目でわかる(ブラックボックス)単体テストを形成します。
論文 参考訳(メタデータ) (2023-01-31T15:11:48Z) - Increasing Confidence in Adversarial Robustness Evaluations [53.2174171468716]
本稿では,弱い攻撃を識別し,防御評価を弱めるテストを提案する。
本テストでは,各サンプルに対する逆例の存在を保証するため,ニューラルネットワークをわずかに修正した。
これまでに公表された13の防衛のうち、11の防衛について、元の防衛評価は我々のテストに失敗し、これらの防衛を破る強力な攻撃はそれを通過する。
論文 参考訳(メタデータ) (2022-06-28T13:28:13Z) - Towards Adversarial Patch Analysis and Certified Defense against Crowd
Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。
近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。
群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文 参考訳(メタデータ) (2021-04-22T05:10:55Z) - LAFEAT: Piercing Through Adversarial Defenses with Latent Features [15.189068478164337]
特定の"ロバスト"モデルの潜在機能は、驚くほど敵の攻撃に影響を受けやすいことを示す。
勾配降下ステップ、すなわちLAFEATで潜伏機能を利用する統一$ell_infty$-normホワイトボックス攻撃アルゴリズムを紹介します。
論文 参考訳(メタデータ) (2021-04-19T13:22:20Z) - Attack Agnostic Adversarial Defense via Visual Imperceptible Bound [70.72413095698961]
本研究の目的は、目視攻撃と目視攻撃の両方に対して一定の範囲内で堅牢な防衛モデルを設計することである。
提案するディフェンスモデルは,MNIST,CIFAR-10,Tiny ImageNetデータベース上で評価される。
提案アルゴリズムは攻撃非依存であり,攻撃アルゴリズムの知識を必要としない。
論文 参考訳(メタデータ) (2020-10-25T23:14:26Z) - GraCIAS: Grassmannian of Corrupted Images for Adversarial Security [4.259219671110274]
本研究では,入力画像のみにランダムな画像破損を適用する防衛戦略を提案する。
クリーン画像の投影作用素と逆摂動バージョンとの近接関係は、グラスマン空間上の測地線距離と行列フロベニウスノルムとの接点を通して展開する。
最先端のアプローチとは異なり、再訓練がなくても、提案した戦略はImageNetの防御精度を4.5%向上させる。
論文 参考訳(メタデータ) (2020-05-06T16:17:12Z) - Reliable evaluation of adversarial robustness with an ensemble of
diverse parameter-free attacks [65.20660287833537]
本稿では,最適段差の大きさと目的関数の問題による障害を克服するPGD攻撃の2つの拡張を提案する。
そして、我々の新しい攻撃と2つの補完的な既存の攻撃を組み合わせることで、パラメータフリーで、計算に手頃な価格で、ユーザに依存しない攻撃のアンサンブルを形成し、敵の堅牢性をテストする。
論文 参考訳(メタデータ) (2020-03-03T18:15:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。