論文の概要: Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack
- arxiv url: http://arxiv.org/abs/2211.11312v2
- Date: Mon, 6 May 2024 11:00:43 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-08 03:39:13.963832
- Title: Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack
- Title(参考訳): ブラックボックス攻撃による骨格型人間行動認識の脆弱性理解
- Authors: Yunfeng Diao, He Wang, Tianjia Shao, Yong-Liang Yang, Kun Zhou, David Hogg, Meng Wang,
- Abstract要約: HAR(Human Activity Recognition)は、自動運転車など、幅広い用途に採用されている。
近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。
攻撃者がモデルの入出力しかアクセスできない場合でも、そのような脅威が存在することを示す。
BASARと呼ばれる骨格をベースとしたHARにおいて,最初のブラックボックス攻撃手法を提案する。
- 参考スコア(独自算出の注目度): 53.032801921915436
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Human Activity Recognition (HAR) has been employed in a wide range of applications, e.g. self-driving cars, where safety and lives are at stake. Recently, the robustness of skeleton-based HAR methods have been questioned due to their vulnerability to adversarial attacks. However, the proposed attacks require the full-knowledge of the attacked classifier, which is overly restrictive. In this paper, we show such threats indeed exist, even when the attacker only has access to the input/output of the model. To this end, we propose the very first black-box adversarial attack approach in skeleton-based HAR called BASAR. BASAR explores the interplay between the classification boundary and the natural motion manifold. To our best knowledge, this is the first time data manifold is introduced in adversarial attacks on time series. Via BASAR, we find on-manifold adversarial samples are extremely deceitful and rather common in skeletal motions, in contrast to the common belief that adversarial samples only exist off-manifold. Through exhaustive evaluation, we show that BASAR can deliver successful attacks across classifiers, datasets, and attack modes. By attack, BASAR helps identify the potential causes of the model vulnerability and provides insights on possible improvements. Finally, to mitigate the newly identified threat, we propose a new adversarial training approach by leveraging the sophisticated distributions of on/off-manifold adversarial samples, called mixed manifold-based adversarial training (MMAT). MMAT can successfully help defend against adversarial attacks without compromising classification accuracy.
- Abstract(参考訳): HAR(Human Activity Recognition)は、自動運転車など、安全と生命が危ぶまれる幅広い用途に採用されている。
近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。
しかし、提案された攻撃は攻撃された分類器の完全な知識を必要とするため、過度に制限される。
本稿では,攻撃者がモデルの入出力にのみアクセスできる場合でも,そのような脅威が実際に存在することを示す。
この目的のために,本研究では,BASARと呼ばれる骨格型HARにおいて,最初のブラックボックス対逆攻撃手法を提案する。
BASARは分類境界と自然運動多様体の間の相互作用を探索する。
我々の知る限りでは、時系列に対する逆攻撃でデータ多様体が導入されたのはこれが初めてである。
BASARでは, 対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対数対
徹底的な評価により、BASARは分類器、データセット、アタックモードにまたがって攻撃を成功させることができることを示す。
攻撃によって、BASARはモデル脆弱性の潜在的な原因を特定し、改善の可能性についての洞察を提供する。
最後に, 新たに同定された脅威を軽減するため, 混合多様体型対角訓練(MMAT)と呼ばれる, オン/オフマニフォールド対向サンプルの高度分布を活用することで, 新たな対向訓練手法を提案する。
MMATは、分類精度を損なうことなく、敵の攻撃を防げる。
関連論文リスト
- Hard No-Box Adversarial Attack on Skeleton-Based Human Action
Recognition with Skeleton-Motion-Informed Gradient [14.392853911242923]
骨格に基づくヒトの行動認識法は、敵の攻撃に弱いことが示されている。
本稿では,攻撃者が被害者モデルや訓練データやラベルにアクセスできない新たな攻撃課題について考察する。
具体的には,スケルトン運動インフォームド・グラデーション(SMI)と呼ばれる攻撃の新たな勾配を計算するために,敵の損失を定義する。
論文 参考訳(メタデータ) (2023-08-10T16:34:20Z) - Defending Black-box Skeleton-based Human Activity Classifiers [38.95979614080714]
本稿では,人骨をベースとした人間行動認識について検討する。これは時系列データの重要なタイプであるが,攻撃に対する防御には不十分である。
BEATは単純だがエレガントで、脆弱なブラックボックス分類器を精度を犠牲にすることなく堅牢なものにします。
論文 参考訳(メタデータ) (2022-03-09T13:46:10Z) - Adversarial Robustness of Deep Reinforcement Learning based Dynamic
Recommender Systems [50.758281304737444]
本稿では,強化学習に基づく対話型レコメンデーションシステムにおける敵例の探索と攻撃検出を提案する。
まず、入力に摂動を加え、カジュアルな要因に介入することで、異なる種類の逆例を作成する。
そこで,本研究では,人工データに基づく深層学習に基づく分類器による潜在的攻撃を検出することにより,推薦システムを強化した。
論文 参考訳(メタデータ) (2021-12-02T04:12:24Z) - Towards A Conceptually Simple Defensive Approach for Few-shot
classifiers Against Adversarial Support Samples [107.38834819682315]
本研究は,数発の分類器を敵攻撃から守るための概念的簡便なアプローチについて検討する。
本稿では,自己相似性とフィルタリングの概念を用いた簡易な攻撃非依存検出法を提案する。
ミニイメージネット(MI)とCUBデータセットの攻撃検出性能は良好である。
論文 参考訳(メタデータ) (2021-10-24T05:46:03Z) - Improving the Adversarial Robustness for Speaker Verification by Self-Supervised Learning [95.60856995067083]
この研究は、特定の攻撃アルゴリズムを知らずにASVの敵防衛を行う最初の試みの一つである。
本研究の目的は,1) 対向摂動浄化と2) 対向摂動検出の2つの視点から対向防御を行うことである。
実験の結果, 検出モジュールは, 約80%の精度で対向検体を検出することにより, ASVを効果的に遮蔽することがわかった。
論文 参考訳(メタデータ) (2021-06-01T07:10:54Z) - ExAD: An Ensemble Approach for Explanation-based Adversarial Detection [17.455233006559734]
説明手法のアンサンブルを用いて逆例を検出するフレームワークであるExADを提案する。
3つの画像データセットに対する6つの最先端の敵攻撃によるアプローチの評価を行った。
論文 参考訳(メタデータ) (2021-03-22T00:53:07Z) - BASAR:Black-box Attack on Skeletal Action Recognition [32.88446909707521]
スケルトンベースの活動認識装置は、認識者の完全な知識が攻撃者にアクセスできるときに、敵の攻撃に対して脆弱である。
本稿では,そのような脅威がブラックボックスの設定下でも存在することを示す。
BASARを通じて、敵の攻撃は真の脅威であるだけでなく、極めて偽りであることを示す。
論文 参考訳(メタデータ) (2021-03-09T07:29:35Z) - Adversarial Example Games [51.92698856933169]
Adrial Example Games (AEG) は、敵の例の製作をモデル化するフレームワークである。
AEGは、ある仮説クラスからジェネレータとアバーサを反対に訓練することで、敵の例を設計する新しい方法を提供する。
MNIST と CIFAR-10 データセットに対する AEG の有効性を示す。
論文 参考訳(メタデータ) (2020-07-01T19:47:23Z) - AdvMind: Inferring Adversary Intent of Black-Box Attacks [66.19339307119232]
本稿では,ブラックボックス攻撃の敵意を頑健に推定する新たな評価モデルであるAdvMindを提案する。
平均的なAdvMindは、3回未満のクエリバッチを観察した後、75%以上の精度で敵の意図を検出する。
論文 参考訳(メタデータ) (2020-06-16T22:04:31Z) - Adversarial Detection and Correction by Matching Prediction
Distributions [0.0]
この検出器は、MNISTとFashion-MNISTに対するCarini-WagnerやSLIDEのような強力な攻撃をほぼ完全に中和する。
本手法は,攻撃者がモデルと防御の両方について十分な知識を持つホワイトボックス攻撃の場合においても,なおも敵の例を検出することができることを示す。
論文 参考訳(メタデータ) (2020-02-21T15:45:42Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。