論文の概要: Blackbox Attacks via Surrogate Ensemble Search

• arxiv url: http://arxiv.org/abs/2208.03610v1
• Date: Sun, 7 Aug 2022 01:24:11 GMT
• ステータス: 処理完了
• システム内更新日: 2022-08-09 12:39:24.762568
• Title: Blackbox Attacks via Surrogate Ensemble Search
• Title（参考訳）: サロゲートアンサンブル検索によるブラックボックス攻撃
• Authors: Zikui Cai, Chengyu Song, Srikanth Krishnamurthy, Amit Roy-Chowdhury, M. Salman Asif
• Abstract要約: 代理アンサンブルサーチ(BASES)によるブラックボックス攻撃の新しい手法を提案する。 提案手法は,最先端の手法と比較して,少なくとも30倍少ないクエリで良好な成功率が得られることを示す。 われわれの方法はGoogle Cloud Vision APIでも有効であり、画像当たり2.9クエリで91%の非ターゲット攻撃成功率を達成した。
• 参考スコア（独自算出の注目度）: 18.413568112132197
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Blackbox adversarial attacks can be categorized into transfer- and query-based attacks. Transfer methods do not require any feedback from the victim model, but provide lower success rates compared to query-based methods. Query attacks often require a large number of queries for success. To achieve the best of both approaches, recent efforts have tried to combine them, but still require hundreds of queries to achieve high success rates (especially for targeted attacks). In this paper, we propose a novel method for blackbox attacks via surrogate ensemble search (BASES) that can generate highly successful blackbox attacks using an extremely small number of queries. We first define a perturbation machine that generates a perturbed image by minimizing a weighted loss function over a fixed set of surrogate models. To generate an attack for a given victim model, we search over the weights in the loss function using queries generated by the perturbation machine. Since the dimension of the search space is small (same as the number of surrogate models), the search requires a small number of queries. We demonstrate that our proposed method achieves better success rate with at least 30x fewer queries compared to state-of-the-art methods on different image classifiers trained with ImageNet (including VGG-19, DenseNet-121, and ResNext-50). In particular, our method requires as few as 3 queries per image (on average) to achieve more than a 90% success rate for targeted attacks and 1-2 queries per image for over a 99% success rate for non-targeted attacks. Our method is also effective on Google Cloud Vision API and achieved a 91% non-targeted attack success rate with 2.9 queries per image. We also show that the perturbations generated by our proposed method are highly transferable and can be adopted for hard-label blackbox attacks.
• Abstract（参考訳）: blackboxの逆攻撃は、転送およびクエリベースの攻撃に分類できる。 転送メソッドは、被害者モデルからのフィードバックを必要としないが、クエリベースのメソッドに比べて成功率が低い。 クエリ攻撃は多くの場合、成功のために大量のクエリを必要とする。 両方のアプローチを最大限に活用するために、最近の試みはそれらを組み合わせようと試みているが、高い成功率(特に攻撃対象)を達成するには数百のクエリが必要である。 本稿では,非常に少数のクエリを用いて高い精度でブラックボックス攻撃を発生させることができる,サロゲートアンサンブルサーチ(BASES)によるブラックボックス攻撃の新しい手法を提案する。 まず,固定されたサロゲートモデル上の重み付き損失関数を最小化し,摂動画像を生成する摂動機械を定義する。 所定の犠牲者モデルに対する攻撃を生成するために,摂動機械が生成したクエリを用いて損失関数の重みを探索する。 探索空間の次元は小さいので(サーロゲートモデルの数と同じ)、検索には少数のクエリが必要である。 提案手法は,ImageNetで訓練した画像分類器(VGG-19, DenseNet-121, ResNext-50を含む)の最先端手法と比較して,少なくとも30倍のクエリで良好な成功率が得られることを示す。 特に,対象攻撃の90%以上の成功率と,非対象攻撃の99%以上の成功率の1～2クエリを達成するためには,画像毎に最大3クエリ(平均)が必要となる。 われわれの方法はGoogle Cloud Vision APIでも有効であり、画像当たり2.9クエリで91%の非ターゲット攻撃成功率を達成した。 また,提案手法により発生する摂動は伝達性が高く,ハードラベルブラックボックス攻撃にも適用可能であることを示す。

関連論文リスト

• AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
  CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。 我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。 また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
  論文  参考訳（メタデータ） (2024-08-04T09:53:50Z)
• Hard-label based Small Query Black-box Adversarial Attack [2.041108289731398]
  本稿では,事前訓練したサロゲートモデルによって誘導される最適化プロセスを用いて,ハードラベルに基づく攻撃の実用的設定を提案する。 提案手法は,ベンチマークの約5倍の攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2024-03-09T21:26:22Z)
• Generalizable Black-Box Adversarial Attack with Meta Learning [54.196613395045595]
  ブラックボックス攻撃では、ターゲットモデルのパラメータが不明であり、攻撃者はクエリのフィードバックに基づいて、クエリの予算に基づいて摂動を成功させることを目指している。 本稿では,実例レベルの逆転可能性という,過去の攻撃に対するフィードバック情報を活用することを提案する。 この2種類の逆転送性を持つフレームワークは,市販のクエリベースのアタック手法と自然に組み合わせて性能を向上させることができる。
  論文  参考訳（メタデータ） (2023-01-01T07:24:12Z)
• Query Efficient Cross-Dataset Transferable Black-Box Attack on Action Recognition [99.29804193431823]
  ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。 本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。 提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
  論文  参考訳（メタデータ） (2022-11-23T17:47:49Z)
• Distributed Black-box Attack: Do Not Overestimate Black-box Attacks [4.764637544913963]
  ブラックボックスの敵攻撃は、モデル構造や重みへのアクセスを必要とせずに、画像分類器を誤分類する可能性がある。 最近の研究によると、攻撃の成功率は95%以上で、クエリは1000未満である。 本稿では,ローカルモデルではなく,クラウドAPIに直接ブラックボックス攻撃を適用する。
  論文  参考訳（メタデータ） (2022-10-28T19:14:03Z)
• A Strong Baseline for Query Efficient Attacks in a Black Box Setting [3.52359746858894]
  そこで本研究では,テキスト分類とエンタテインメントタスクにおいて,妥当な敵の例を生成するためのクエリ効率のよい攻撃戦略を提案する。 我々の攻撃は、クエリ数を減らすために、注意機構と局所性に敏感なハッシュ(LSH)を併用する。
  論文  参考訳（メタデータ） (2021-09-10T10:46:32Z)
• QAIR: Practical Query-efficient Black-Box Attacks for Image Retrieval [56.51916317628536]
  画像検索に対するクエリベースの攻撃について検討し,ブラックボックス設定下での対比例に対する堅牢性を評価する。 新たな関連性に基づく損失は、攻撃前後のトップk検索結果のセット類似度を測定して攻撃効果を定量化するように設計されている。 提案手法は,ブラックボックス設定による画像検索システムに対するクエリ数が少なく,高い攻撃成功率を達成できることを示す実験である。
  論文  参考訳（メタデータ） (2021-03-04T10:18:43Z)
• Simple and Efficient Hard Label Black-box Adversarial Attacks in Low Query Budget Regimes [80.9350052404617]
  そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。 高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。 提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
  論文  参考訳（メタデータ） (2020-07-13T04:34:57Z)
• RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
  我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。 モデルの正当性チェックとしても使用できる。
  論文  参考訳（メタデータ） (2020-06-23T07:01:50Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。