論文の概要: Towards Lightweight Black-Box Attacks against Deep Neural Networks
- arxiv url: http://arxiv.org/abs/2209.14826v1
- Date: Thu, 29 Sep 2022 14:43:03 GMT
- ステータス: 処理完了
- システム内更新日: 2022-09-30 18:13:58.542854
- Title: Towards Lightweight Black-Box Attacks against Deep Neural Networks
- Title(参考訳): 深層ニューラルネットワークに対する軽量ブラックボックス攻撃に向けて
- Authors: Chenghao Sun, Yonggang Zhang, Wan Chaoqun, Qizhou Wang, Ya Li,
Tongliang Liu, Bo Han and Xinmei Tian
- Abstract要約: ブラックボックス攻撃は、いくつかのテストサンプルしか利用できない実用的な攻撃を引き起こす可能性があると我々は主張する。
いくつかのサンプルが必要なので、これらの攻撃を軽量なブラックボックス攻撃と呼ぶ。
近似誤差を軽減するために,Error TransFormer (ETF) を提案する。
- 参考スコア(独自算出の注目度): 70.9865892636123
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Black-box attacks can generate adversarial examples without accessing the
parameters of target model, largely exacerbating the threats of deployed deep
neural networks (DNNs). However, previous works state that black-box attacks
fail to mislead target models when their training data and outputs are
inaccessible. In this work, we argue that black-box attacks can pose practical
attacks in this extremely restrictive scenario where only several test samples
are available. Specifically, we find that attacking the shallow layers of DNNs
trained on a few test samples can generate powerful adversarial examples. As
only a few samples are required, we refer to these attacks as lightweight
black-box attacks. The main challenge to promoting lightweight attacks is to
mitigate the adverse impact caused by the approximation error of shallow
layers. As it is hard to mitigate the approximation error with few available
samples, we propose Error TransFormer (ETF) for lightweight attacks. Namely,
ETF transforms the approximation error in the parameter space into a
perturbation in the feature space and alleviates the error by disturbing
features. In experiments, lightweight black-box attacks with the proposed ETF
achieve surprising results. For example, even if only 1 sample per category
available, the attack success rate in lightweight black-box attacks is only
about 3% lower than that of the black-box attacks with complete training data.
- Abstract(参考訳): ブラックボックス攻撃は、ターゲットモデルのパラメータにアクセスすることなく、敵対的な例を生成し、デプロイされたディープニューラルネットワーク(dnn)の脅威をほとんど悪化させる。
しかし、以前の研究では、ブラックボックス攻撃はトレーニングデータやアウトプットがアクセスできない場合にターゲットモデルを誤解させることができない。
本研究では,ブラックボックス攻撃は,いくつかのテストサンプルしか利用できない極めて限定的なシナリオにおいて,現実的な攻撃を引き起こす可能性があると論じる。
具体的には、いくつかのテストサンプルでトレーニングされたDNNの浅い層を攻撃することで、強力な敵の例が生成される。
いくつかのサンプルが必要なので、これらの攻撃を軽量なブラックボックス攻撃と呼ぶ。
軽量攻撃を促進する主な課題は、浅い層の近似誤差による悪影響を軽減することである。
サンプル数が少ないため近似誤差を軽減できないため,軽量攻撃のためのエラートランスフォーマ(etf)を提案する。
すなわち、etfはパラメータ空間の近似誤差を特徴空間の摂動に変換し、特徴を乱すことによって誤差を緩和する。
実験では、etfによる軽量ブラックボックス攻撃が驚くべき結果を得た。
例えば、1つのカテゴリに1つのサンプルしか使用できないとしても、軽量なブラックボックス攻撃における攻撃成功率は、完全なトレーニングデータを持つブラックボックス攻撃よりもわずか3%低い。
関連論文リスト
- Understanding the Robustness of Randomized Feature Defense Against
Query-Based Adversarial Attacks [23.010308600769545]
ディープニューラルネットワークは、元の画像に近いサンプルを見つける敵の例に弱いが、モデルを誤分類させる可能性がある。
モデル中間層における隠れた特徴にランダムノイズを付加することにより,ブラックボックス攻撃に対する簡易かつ軽量な防御法を提案する。
本手法は,スコアベースと決定ベースの両方のブラックボックス攻撃に対するモデルのレジリエンスを効果的に向上させる。
論文 参考訳(メタデータ) (2023-10-01T03:53:23Z) - Certifiable Black-Box Attacks with Randomized Adversarial Examples: Breaking Defenses with Provable Confidence [34.35162562625252]
ブラックボックスの敵攻撃は、機械学習モデルを妥協する強力な可能性を示している。
証明可能な保証付きブラックボックス攻撃の新たなパラダイムについて検討する。
この新しいブラックボックス攻撃は、機械学習モデルの重大な脆弱性を露呈する。
論文 参考訳(メタデータ) (2023-04-10T01:12:09Z) - Art-Attack: Black-Box Adversarial Attack via Evolutionary Art [5.760976250387322]
ディープニューラルネットワーク(DNN)は多くのタスクで最先端のパフォーマンスを達成したが、敵の例によって生成された攻撃に対して極端な脆弱性を示している。
本稿では, 進化芸術の概念を用いて, 敵対的事例を生成することによって, 勾配のない攻撃を提案する。
論文 参考訳(メタデータ) (2022-03-07T12:54:09Z) - Parallel Rectangle Flip Attack: A Query-based Black-box Attack against
Object Detection [89.08832589750003]
本稿では,攻撃領域近傍の準最適検出を回避するために,ランダム探索による並列矩形フリップ攻撃(PRFA)を提案する。
提案手法は, アンカーベースやアンカーフリーなど, 様々な人気物体検出装置を効果的かつ効率的に攻撃し, 転送可能な対向例を生成する。
論文 参考訳(メタデータ) (2022-01-22T06:00:17Z) - Local Black-box Adversarial Attacks: A Query Efficient Approach [64.98246858117476]
アドリアックは、セキュリティに敏感なシナリオにおけるディープニューラルネットワークの適用を脅かしている。
ブラックボックス攻撃における限られたクエリ内でのみクリーンな例の識別領域を摂動させる新しいフレームワークを提案する。
攻撃成功率の高いブラックボックス摂動時のクエリ効率を大幅に改善できることを示すため,広範な実験を行った。
論文 参考訳(メタデータ) (2021-01-04T15:32:16Z) - Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。
NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
論文 参考訳(メタデータ) (2020-09-24T06:22:56Z) - Simple and Efficient Hard Label Black-box Adversarial Attacks in Low
Query Budget Regimes [80.9350052404617]
そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。
高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。
提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
論文 参考訳(メタデータ) (2020-07-13T04:34:57Z) - QEBA: Query-Efficient Boundary-Based Blackbox Attack [27.740081902519517]
モデルの最終予測ラベルのみに基づいて,クエリ効率の良い境界ベースのブラックボックスアタック(QEBA)を提案する。
現状のブラックボックス攻撃と比較して、QEBAは、100%攻撃成功率の低い摂動量を達成するために、より少ないクエリを使用できることを示す。
論文 参考訳(メタデータ) (2020-05-28T16:41:12Z) - Spanning Attack: Reinforce Black-box Attacks with Unlabeled Data [96.92837098305898]
Black-box攻撃は、機械学習モデルのインプット・アウトプットペアをクエリすることで、敵の摂動を発生させることを目的としている。
ブラックボックス攻撃はしばしば、入力空間の高次元性のためにクエリ非効率性の問題に悩まされる。
本研究では,低次元部分空間における逆摂動を,補助的なラベルのないデータセットに分散させることで抑制するスパンニング攻撃と呼ばれる新しい手法を提案する。
論文 参考訳(メタデータ) (2020-05-11T05:57:15Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。