論文の概要: MORA: Improving Ensemble Robustness Evaluation with Model-Reweighing
Attack
- arxiv url: http://arxiv.org/abs/2211.08008v1
- Date: Tue, 15 Nov 2022 09:45:32 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-16 13:51:04.296441
- Title: MORA: Improving Ensemble Robustness Evaluation with Model-Reweighing
Attack
- Title(参考訳): MORA:モデル修正攻撃によるアンサンブルロバストネス評価の改善
- Authors: Yunrui Yu, Xitong Gao, Cheng-Zhong Xu
- Abstract要約: 敵攻撃は、入力データに小さな摂動を加えることで、ニューラルネットワークを騙すことができる。
敵の攻撃戦略は、アンサンブル防御を確実に評価することができず、その頑健さをかなり過大評価できることを示す。
我々は, モデル勾配の重要性を再考することにより, モデル修正攻撃であるMORAを紹介した。
- 参考スコア(独自算出の注目度): 26.37741124166643
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Adversarial attacks can deceive neural networks by adding tiny perturbations
to their input data. Ensemble defenses, which are trained to minimize attack
transferability among sub-models, offer a promising research direction to
improve robustness against such attacks while maintaining a high accuracy on
natural inputs. We discover, however, that recent state-of-the-art (SOTA)
adversarial attack strategies cannot reliably evaluate ensemble defenses,
sizeably overestimating their robustness. This paper identifies the two factors
that contribute to this behavior. First, these defenses form ensembles that are
notably difficult for existing gradient-based method to attack, due to gradient
obfuscation. Second, ensemble defenses diversify sub-model gradients,
presenting a challenge to defeat all sub-models simultaneously, simply summing
their contributions may counteract the overall attack objective; yet, we
observe that ensemble may still be fooled despite most sub-models being
correct. We therefore introduce MORA, a model-reweighing attack to steer
adversarial example synthesis by reweighing the importance of sub-model
gradients. MORA finds that recent ensemble defenses all exhibit varying degrees
of overestimated robustness. Comparing it against recent SOTA white-box
attacks, it can converge orders of magnitude faster while achieving higher
attack success rates across all ensemble models examined with three different
ensemble modes (i.e., ensembling by either softmax, voting or logits). In
particular, most ensemble defenses exhibit near or exactly 0% robustness
against MORA with $\ell^\infty$ perturbation within 0.02 on CIFAR-10, and 0.01
on CIFAR-100. We make MORA open source with reproducible results and
pre-trained models; and provide a leaderboard of ensemble defenses under
various attack strategies.
- Abstract(参考訳): 敵攻撃は、入力データに小さな摂動を加えることで、ニューラルネットワークを騙すことができる。
サブモデル間の攻撃伝達性を最小化するために訓練されたアンサンブル防御は、自然入力に対する高い精度を維持しつつ、このような攻撃に対する堅牢性を改善するための有望な研究方向を提供する。
しかし,近年のSOTA(State-of-the-art)攻撃戦略では,アンサンブル防御を確実に評価することができず,その頑健さを著しく過大評価できることがわかった。
本稿では,この行動に寄与する2つの要因について述べる。
まず、これらの防御は、勾配難読化のため、既存の勾配ベースの攻撃方法では特に難しいアンサンブルを形成する。
第二に、アンサンブルディフェンスはサブモデル勾配を多様化させ、全てのサブモデルを同時に打ち破ることの難しさを示し、単純にそれらの貢献が全体的な攻撃目標に反する可能性がある。
そこで我々は,サブモデル勾配の重要性を再考することにより,モデル修正攻撃であるMORAを導入する。
MORAは、最近のアンサンブルディフェンスは全て、過度に見積もられたロバスト性を示す。
最近のSOTAのホワイトボックス攻撃と比較すると、3つの異なるアンサンブルモード(ソフトマックス、投票またはロジットによるアンサンブル)で検査されたすべてのアンサンブルモデルに対して高い攻撃成功率を達成する一方で、桁違いに早く収束することができる。
特に、ほとんどのアンサンブル防御は、CIFAR-10では0.02ドル、CIFAR-100では0.01ドル、MORAに対して約0%の堅牢性を示す。
我々はMORAを再現可能な結果と事前訓練されたモデルでオープンソース化し、様々な攻撃戦略の下でのアンサンブル防御のリーダーボードを提供する。
関連論文リスト
- Gradient Masking All-at-Once: Ensemble Everything Everywhere Is Not Robust [65.95797963483729]
あらゆるものをアンサンブルすることは、敵の例に対する防御である。
この防御は敵の攻撃に対して堅牢ではないことを示す。
次に、標準的なアダプティブアタック技術を用いて、防御の堅牢な精度を低下させる。
論文 参考訳(メタデータ) (2024-11-22T10:17:32Z) - From Attack to Defense: Insights into Deep Learning Security Measures in Black-Box Settings [1.8006345220416338]
敵のサンプルは深刻な脅威となり、モデルがそのようなアプリケーションの性能を誤解し、損なう可能性がある。
ディープラーニングモデルの堅牢性に対処することは、敵の攻撃を理解し防御するために重要になっている。
我々の研究は、SimBA、HopSkipJump、MGAAttack、境界攻撃などのブラックボックス攻撃、およびプリプロセッサベースの防御機構に焦点を当てている。
論文 参考訳(メタデータ) (2024-05-03T09:40:47Z) - Interpolated Joint Space Adversarial Training for Robust and
Generalizable Defenses [82.3052187788609]
敵の訓練(AT)は、敵の攻撃に対する最も信頼できる防御の1つと考えられている。
近年の研究では、新たな脅威モデルの下での対向サンプルによる一般化の改善が示されている。
我々は、JSTM(Joint Space Threat Model)と呼ばれる新しい脅威モデルを提案する。
JSTMでは,新たな敵攻撃・防衛手法が開発されている。
論文 参考訳(メタデータ) (2021-12-12T21:08:14Z) - Mutual Adversarial Training: Learning together is better than going
alone [82.78852509965547]
モデル間の相互作用が知識蒸留による堅牢性に与える影響について検討する。
本稿では,複数のモデルを同時に訓練する相互対人訓練(MAT)を提案する。
MATは、ホワイトボックス攻撃下で、モデル堅牢性と最先端メソッドを効果的に改善することができる。
論文 参考訳(メタデータ) (2021-12-09T15:59:42Z) - Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。
任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。
本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
論文 参考訳(メタデータ) (2021-05-31T17:01:05Z) - Lagrangian Objective Function Leads to Improved Unforeseen Attack
Generalization in Adversarial Training [0.0]
対人訓練(AT)は、訓練中に使用される攻撃に対して堅牢なモデルに到達するのに有効であることが示されている。
我々は、上記の問題を緩和する簡易なAT修正を提案する。
我々は,攻撃の一般化を意図した他の攻撃手法よりも,攻撃速度が速いことを示す。
論文 参考訳(メタデータ) (2021-03-29T07:23:46Z) - "What's in the box?!": Deflecting Adversarial Attacks by Randomly
Deploying Adversarially-Disjoint Models [71.91835408379602]
敵の例は長い間、機械学習モデルに対する真の脅威と考えられてきた。
我々は、従来のホワイトボックスやブラックボックスの脅威モデルを超えた、配置ベースの防衛パラダイムを提案する。
論文 参考訳(メタデータ) (2021-02-09T20:07:13Z) - Voting based ensemble improves robustness of defensive models [82.70303474487105]
我々は、より堅牢性を高めるためのアンサンブルを作ることができるかどうか研究する。
最先端の先制防衛モデルを複数組み合わせることで,59.8%の堅牢な精度を達成できる。
論文 参考訳(メタデータ) (2020-11-28T00:08:45Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。