論文の概要: Boosting the Transferability of Adversarial Attacks with Reverse
Adversarial Perturbation
- arxiv url: http://arxiv.org/abs/2210.05968v1
- Date: Wed, 12 Oct 2022 07:17:33 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-13 13:44:11.782121
- Title: Boosting the Transferability of Adversarial Attacks with Reverse
Adversarial Perturbation
- Title(参考訳): 逆逆向摂動による逆攻撃の伝達性の向上
- Authors: Zeyu Qin, Yanbo Fan, Yi Liu, Li Shen, Yong Zhang, Jue Wang, Baoyuan Wu
- Abstract要約: 逆の例は、知覚不能な摂動を注入することで誤った予測を生じさせる。
本研究では,現実の応用への脅威から,敵対的事例の伝達可能性について検討する。
逆対向摂動(RAP)と呼ばれる新しい攻撃法を提案する。
- 参考スコア(独自算出の注目度): 32.81400759291457
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Deep neural networks (DNNs) have been shown to be vulnerable to adversarial
examples, which can produce erroneous predictions by injecting imperceptible
perturbations. In this work, we study the transferability of adversarial
examples, which is significant due to its threat to real-world applications
where model architecture or parameters are usually unknown. Many existing works
reveal that the adversarial examples are likely to overfit the surrogate model
that they are generated from, limiting its transfer attack performance against
different target models. To mitigate the overfitting of the surrogate model, we
propose a novel attack method, dubbed reverse adversarial perturbation (RAP).
Specifically, instead of minimizing the loss of a single adversarial point, we
advocate seeking adversarial example located at a region with unified low loss
value, by injecting the worst-case perturbation (the reverse adversarial
perturbation) for each step of the optimization procedure. The adversarial
attack with RAP is formulated as a min-max bi-level optimization problem. By
integrating RAP into the iterative process for attacks, our method can find
more stable adversarial examples which are less sensitive to the changes of
decision boundary, mitigating the overfitting of the surrogate model.
Comprehensive experimental comparisons demonstrate that RAP can significantly
boost adversarial transferability. Furthermore, RAP can be naturally combined
with many existing black-box attack techniques, to further boost the
transferability. When attacking a real-world image recognition system, Google
Cloud Vision API, we obtain 22% performance improvement of targeted attacks
over the compared method. Our codes are available at
https://github.com/SCLBD/Transfer_attack_RAP.
- Abstract(参考訳): ディープニューラルネットワーク(dnn)は、非知覚的な摂動を注入することで誤った予測を生じ得る敵の例に対して脆弱であることが示されている。
本研究では,モデルアーキテクチャやパラメータが通常不明な実世界のアプリケーションに対する脅威として,逆例の転送可能性について検討する。
既存の多くの研究は、敵が生成したサロゲートモデルに適合し、異なるターゲットモデルに対する転送攻撃性能を制限していることを示している。
代理モデルの過度な適合を緩和するため, 逆対向摂動(RAP)と呼ばれる新たな攻撃法を提案する。
具体的には、単一対向点の損失を最小限に抑える代わりに、最適化手順の各ステップに対して最悪のケース摂動(逆対向摂動)を注入することにより、統一された低損失値の領域に位置する対向例を求める。
RAPによる逆攻撃は、min-maxバイレベル最適化問題として定式化される。
攻撃の反復的プロセスにRAPを組み込むことで,決定境界の変化に敏感でないより安定した敵例を見つけ,サロゲートモデルの過度な適合を軽減できる。
総合的な比較実験により、RAPは対向転写可能性を大幅に向上させることが示された。
さらにrapは、転送性をさらに高めるために、既存のブラックボックス攻撃技術と自然に組み合わせることができる。
実世界の画像認識システムであるGoogle Cloud Vision APIを攻撃した場合、比較手法よりもターゲット攻撃の性能が22%向上する。
私たちのコードはhttps://github.com/sclbd/transfer_attack_rapで利用可能です。
関連論文リスト
- Imperceptible Face Forgery Attack via Adversarial Semantic Mask [59.23247545399068]
本稿では, 対向性, 可視性に優れた対向性例を生成できるASMA(Adversarial Semantic Mask Attack framework)を提案する。
具体的には, 局所的なセマンティック領域の摂動を抑制し, 良好なステルス性を実現する, 対向型セマンティックマスク生成モデルを提案する。
論文 参考訳(メタデータ) (2024-06-16T10:38:11Z) - Efficient Generation of Targeted and Transferable Adversarial Examples for Vision-Language Models Via Diffusion Models [17.958154849014576]
大規模視覚言語モデル(VLM)のロバスト性を評価するために、敵対的攻撃を用いることができる。
従来のトランスファーベースの敵攻撃は、高いイテレーション数と複雑なメソッド構造により、高いコストを発生させる。
本稿では, 拡散モデルを用いて, 自然, 制約のない, 対象とする対向的な例を生成するAdvDiffVLMを提案する。
論文 参考訳(メタデータ) (2024-04-16T07:19:52Z) - Mutual-modality Adversarial Attack with Semantic Perturbation [81.66172089175346]
本稿では,相互モダリティ最適化スキームにおける敵攻撃を生成する新しい手法を提案する。
我々の手法は最先端の攻撃方法より優れており、プラグイン・アンド・プレイ・ソリューションとして容易にデプロイできる。
論文 参考訳(メタデータ) (2023-12-20T05:06:01Z) - StyLess: Boosting the Transferability of Adversarial Examples [10.607781970035083]
敵対的攻撃は、良心的な例に知覚できない摂動を加えることによって、ディープニューラルネットワーク(DNN)を誤解させる可能性がある。
本研究では,攻撃伝達性を向上させるために,スタイルレス摂動(StyLess)と呼ばれる新たな攻撃手法を提案する。
論文 参考訳(メタデータ) (2023-04-23T08:23:48Z) - Improving Adversarial Transferability with Scheduled Step Size and Dual
Example [33.00528131208799]
反復型高速勾配符号法により生じる逆例の転送性は,反復数の増加に伴って低下傾向を示すことを示す。
本稿では,スケジューリングステップサイズとデュアルサンプル(SD)を用いて,良性サンプル近傍の対角情報を完全に活用する新しい戦略を提案する。
提案手法は,既存の対向攻撃手法と容易に統合でき,対向移動性が向上する。
論文 参考訳(メタデータ) (2023-01-30T15:13:46Z) - Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。
修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。
効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
論文 参考訳(メタデータ) (2022-12-30T18:45:23Z) - Improving Adversarial Robustness to Sensitivity and Invariance Attacks
with Deep Metric Learning [80.21709045433096]
対向ロバスト性の標準的な方法は、サンプルを最小に摂動させることによって作られたサンプルに対して防御する枠組みを仮定する。
距離学習を用いて、最適輸送問題として逆正則化をフレーム化する。
予備的な結果から, 変分摂動の規則化は, 変分防御と敏感防御の両方を改善することが示唆された。
論文 参考訳(メタデータ) (2022-11-04T13:54:02Z) - Learning to Learn Transferable Attack [77.67399621530052]
転送逆行攻撃は非自明なブラックボックス逆行攻撃であり、サロゲートモデル上で敵の摂動を発生させ、そのような摂動を被害者モデルに適用することを目的としている。
本研究では,データとモデル拡張の両方から学習することで,敵の摂動をより一般化する学習可能な攻撃学習法(LLTA)を提案する。
提案手法の有効性を実証し, 現状の手法と比較して, 12.85%のトランスファー攻撃の成功率で検証した。
論文 参考訳(メタデータ) (2021-12-10T07:24:21Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - Adversarial example generation with AdaBelief Optimizer and Crop
Invariance [8.404340557720436]
敵攻撃は、安全クリティカルなアプリケーションにおいて堅牢なモデルを評価し、選択するための重要な方法である。
本稿では,AdaBelief Iterative Fast Gradient Method (ABI-FGM)とCrop-Invariant attack Method (CIM)を提案する。
我々の手法は、最先端の勾配に基づく攻撃法よりも成功率が高い。
論文 参考訳(メタデータ) (2021-02-07T06:00:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。