論文の概要: Preprocessors Matter! Realistic Decision-Based Attacks on Machine Learning Systems

• arxiv url: http://arxiv.org/abs/2210.03297v2
• Date: Thu, 20 Jul 2023 19:28:22 GMT
• ステータス: 処理完了
• システム内更新日: 2023-07-24 16:48:33.814772
• Title: Preprocessors Matter! Realistic Decision-Based Attacks on Machine Learning Systems
• Title（参考訳）: プリプロセッサが重要! 機械学習システムに対するリアルな意思決定に基づく攻撃
• Authors: Chawin Sitawarin, Florian Tram\`er, Nicholas Carlini
• Abstract要約: 決定に基づく攻撃は、ハードラベルクエリのみを作成することによって、機械学習(ML)モデルに対する逆例を構築する。 我々は,(i)プリプロセッサをリバースエンジニアリングし,(ii)この抽出した情報を用いてエンド・ツー・エンド・システムを攻撃する手法を開発した。 我々のプリプロセッサ抽出法は数百のクエリしか必要とせず、我々のプリプロセッサ・アウェア・アタックはモデルのみを攻撃する場合と同じ効果を回復する。
• 参考スコア（独自算出の注目度）: 56.64374584117259
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Decision-based attacks construct adversarial examples against a machine learning (ML) model by making only hard-label queries. These attacks have mainly been applied directly to standalone neural networks. However, in practice, ML models are just one component of a larger learning system. We find that by adding a single preprocessor in front of a classifier, state-of-the-art query-based attacks are up to 7$\times$ less effective at attacking a prediction pipeline than at attacking the model alone. We explain this discrepancy by the fact that most preprocessors introduce some notion of invariance to the input space. Hence, attacks that are unaware of this invariance inevitably waste a large number of queries to re-discover or overcome it. We, therefore, develop techniques to (i) reverse-engineer the preprocessor and then (ii) use this extracted information to attack the end-to-end system. Our preprocessors extraction method requires only a few hundred queries, and our preprocessor-aware attacks recover the same efficacy as when attacking the model alone. The code can be found at https://github.com/google-research/preprocessor-aware-black-box-attack.
• Abstract（参考訳）: 決定に基づく攻撃は、ハードラベルクエリのみを作成することによって、機械学習(ML)モデルに対する逆例を構築する。 これらの攻撃は主にスタンドアロンのニューラルネットワークに直接適用される。 しかし、実際には、MLモデルはより大きな学習システムの1つの構成要素にすぎない。 分類器の前に1つのプリプロセッサを追加することで、最先端のクエリベースの攻撃は、モデル単独で攻撃するよりも予測パイプラインを攻撃するのに7$\times$以下になることがわかった。 この相違は、ほとんどのプリプロセッサが入力空間に不変性の概念を導入しているという事実によって説明される。 したがって、この不変性に気づいていない攻撃は、必然的に大量のクエリを無駄にして再発見または克服する。 したがって、我々は技術を開発する。 (i)プリプロセッサをリバースエンジニアリングし、 (ii)この抽出情報を用いてエンドツーエンドシステムを攻撃する。 プリプロセッサ抽出法は数百のクエリしか必要とせず,プリプロセッサアウェアアタックはモデル単独による攻撃と同じ効果を回復する。 コードはhttps://github.com/google-research/preprocessor-aware-black-box-attackにある。

関連論文リスト

• Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
  本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。 GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。 その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
  論文  参考訳（メタデータ） (2023-10-25T03:30:42Z)
• DeltaBound Attack: Efficient decision-based attack in low queries regime [0.4061135251278187]
  ディープニューラルネットワークやその他の機械学習システムは、敵の攻撃に対して脆弱である。 我々は,標準値の摂動を許容するハードラベル設定において,新しい強力な攻撃を提案する。 DeltaBound攻撃は、現在の最先端攻撃よりも、時折、うまく動作することが分かりました。
  論文  参考訳（メタデータ） (2022-10-01T14:45:18Z)
• Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
  本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。 有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。 SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
  論文  参考訳（メタデータ） (2022-07-25T03:24:58Z)
• Query Efficient Decision Based Sparse Attacks Against Black-Box Deep Learning Models [9.93052896330371]
  本研究では,進化型アルゴリズムであるSparseEvoを開発し,畳み込み型深層ニューラルネットワークと視覚変換器の両方に対して評価する。 SparseEvoは、未ターゲットとターゲットの両方の攻撃に対して、最先端のスパース攻撃よりもはるかに少ないモデルクエリを必要とする。 重要なことは、クエリ効率のよいSparseEvoと意思決定ベースの攻撃は、一般的に、デプロイされたシステムの安全性に関する新しい疑問を提起する。
  論文  参考訳（メタデータ） (2022-01-31T21:10:47Z)
• Qu-ANTI-zation: Exploiting Quantization Artifacts for Achieving Adversarial Outcomes [5.865029600972316]
  量子化(quantization)は、ニューラルネットワークのパラメータ表現を浮動小数点数から低精度の数値に変換する技術である。 逆量子化結果を実装するための新しいトレーニングフレームワークを提案する。 1つの妥協されたモデルが複数の量子化スキームを破ることを示す。
  論文  参考訳（メタデータ） (2021-10-26T10:09:49Z)
• Multi-concept adversarial attacks [13.538643599990785]
  単一のMLモデルをターゲットにしたテストタイムアタックは、他のMLモデルへの影響を無視することが多い。 我々は,一方のMLモデルの精度を維持しつつ,一方のMLモデルの同時攻撃を可能にする新しい攻撃手法を開発した。
  論文  参考訳（メタデータ） (2021-10-19T22:14:19Z)
• Attribution of Gradient Based Adversarial Attacks for Reverse Engineering of Deceptions [16.23543028393521]
  敵対的ML攻撃ツールチェーンの自動識別とアトリビューションをサポートする2つのテクニックを紹介します。 我々の知る限りでは、これは属性勾配に基づく敵攻撃とそれらのパラメータを推定する最初のアプローチである。
  論文  参考訳（メタデータ） (2021-03-19T19:55:00Z)
• Targeted Attack against Deep Neural Networks via Flipping Limited Weight Bits [55.740716446995805]
  我々は,悪質な目的で展開段階におけるモデルパラメータを修飾する新しい攻撃パラダイムについて検討する。 私たちのゴールは、特定のサンプルをサンプル修正なしでターゲットクラスに誤分類することです。 整数プログラミングにおける最新の手法を利用することで、このBIP問題を連続最適化問題として等価に再構成する。
  論文  参考訳（メタデータ） (2021-02-21T03:13:27Z)
• Composite Adversarial Attacks [57.293211764569996]
  敵対攻撃は、機械学習(ML)モデルを欺くための技術です。 本論文では,攻撃アルゴリズムの最適組み合わせを自動的に探索するための複合攻撃法(Composite Adrial Attack,CAA)を提案する。 CAAは11の防衛でトップ10の攻撃を破り、時間の経過は少ない。
  論文  参考訳（メタデータ） (2020-12-10T03:21:16Z)
• On Adversarial Examples and Stealth Attacks in Artificial Intelligence Systems [62.997667081978825]
  本稿では,汎用人工知能(AI)システムに対する2種類の多元性行動の評価と分析を行うための公式な枠組みを提案する。 最初のクラスは、逆例を含み、誤分類を引き起こす入力データの小さな摂動の導入を懸念する。 第2のクラスは、ここで初めて導入され、ステルス攻撃と名付けられたもので、AIシステム自体に対する小さな摂動を伴う。
  論文  参考訳（メタデータ） (2020-04-09T10:56:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。