論文の概要: Simultaneously Optimizing Perturbations and Positions for Black-box Adversarial Patch Attacks

• arxiv url: http://arxiv.org/abs/2212.12995v1
• Date: Mon, 26 Dec 2022 02:48:37 GMT
• ステータス: 処理完了
• システム内更新日: 2022-12-27 13:57:56.128675
• Title: Simultaneously Optimizing Perturbations and Positions for Black-box Adversarial Patch Attacks
• Title（参考訳）: ブラックボックス対応パッチ攻撃における摂動と位置の同時最適化
• Authors: Xingxing Wei, Ying Guo, Jie Yu, Bo Zhang
• Abstract要約: 敵パッチは、ディープニューラルネットワークの堅牢性に重大なリスクをもたらす、現実世界の敵攻撃の重要な形態である。 従来の方法は、貼付位置を固定しながら摂動値を最適化するか、パッチの内容を修正しながら位置を操作することにより、敵パッチを生成する。 敵パッチの位置と摂動を同時に最適化し,ブラックボックス設定において高い攻撃成功率が得られる新しい手法を提案する。
• 参考スコア（独自算出の注目度）: 13.19708582519833
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Adversarial patch is an important form of real-world adversarial attack that brings serious risks to the robustness of deep neural networks. Previous methods generate adversarial patches by either optimizing their perturbation values while fixing the pasting position or manipulating the position while fixing the patch's content. This reveals that the positions and perturbations are both important to the adversarial attack. For that, in this paper, we propose a novel method to simultaneously optimize the position and perturbation for an adversarial patch, and thus obtain a high attack success rate in the black-box setting. Technically, we regard the patch's position, the pre-designed hyper-parameters to determine the patch's perturbations as the variables, and utilize the reinforcement learning framework to simultaneously solve for the optimal solution based on the rewards obtained from the target model with a small number of queries. Extensive experiments are conducted on the Face Recognition (FR) task, and results on four representative FR models show that our method can significantly improve the attack success rate and query efficiency. Besides, experiments on the commercial FR service and physical environments confirm its practical application value. We also extend our method to the traffic sign recognition task to verify its generalization ability.
• Abstract（参考訳）: 敵パッチは、ディープニューラルネットワークの堅牢性に重大なリスクをもたらす現実世界の敵攻撃の重要な形態である。 従来の方法は、貼付位置を固定しながら摂動値を最適化するか、パッチの内容を修正しながら位置を操作することにより、敵パッチを生成する。 これは、位置と摂動がともに敵の攻撃にとって重要であることを示している。 そこで本研究では,敵パッチの位置と摂動を同時に最適化し,ブラックボックス設定において高い攻撃成功率を得る新しい手法を提案する。 技術的には、パッチの位置、設計済みのハイパーパラメータを変数として、パッチの摂動を決定するために考慮し、この強化学習フレームワークを使用して、ターゲットモデルから得られる報酬を少数のクエリで同時に解決する。 顔認識(FR)タスクにおいて大規模な実験を行い、4つの代表的なFRモデルによる結果から,攻撃成功率とクエリ効率を大幅に向上できることが示された。 さらに、商用FRサービスと物理環境に関する実験により、実用的応用価値が確認された。 また,本手法をトラヒックサイン認識タスクに拡張し,その一般化能力を検証する。

関連論文リスト

• Real-world Adversarial Defense against Patch Attacks based on Diffusion Model [34.86098237949215]
  本稿では,DIFfusionをベースとした新しいDeFenderフレームワークであるDIFFenderを紹介する。 我々のアプローチの核心は、AAP(Adversarial Anomaly Perception)現象の発見である。 DIFFenderは、統一拡散モデルフレームワークにパッチのローカライゼーションと復元のタスクをシームレスに統合する。
  論文  参考訳（メタデータ） (2024-09-14T10:38:35Z)
• Mutual-modality Adversarial Attack with Semantic Perturbation [81.66172089175346]
  本稿では,相互モダリティ最適化スキームにおける敵攻撃を生成する新しい手法を提案する。 我々の手法は最先端の攻撃方法より優れており、プラグイン・アンド・プレイ・ソリューションとして容易にデプロイできる。
  論文  参考訳（メタデータ） (2023-12-20T05:06:01Z)
• RADAP: A Robust and Adaptive Defense Against Diverse Adversarial Patches on Face Recognition [13.618387142029663]
  ディープラーニングを利用した顔認識システムは、敵の攻撃に対して脆弱である。 多様な敵パッチに対する堅牢かつ適応的な防御機構であるRADAPを提案する。 RADAPの有効性を検証するための総合的な実験を行った。
  論文  参考訳（メタデータ） (2023-11-29T03:37:14Z)
• Distributional Modeling for Location-Aware Adversarial Patches [28.466804363780557]
  Distribution-d Adversarial Patch (DOPatch) は, 対向位置のマルチモーダル分布を最適化する新しい手法である。 DOPatchは、敵位置の分布を特徴付けることで、多様な敵サンプルを生成することができる。 顔認識および画像認識タスクにおけるDOPatchの評価を行い、既存の手法よりも優れた性能と効率性を示す。
  論文  参考訳（メタデータ） (2023-06-28T12:01:50Z)
• DIFFender: Diffusion-Based Adversarial Defense against Patch Attacks [34.86098237949214]
  敵対的攻撃、特にパッチ攻撃は、ディープラーニングモデルの堅牢性と信頼性に重大な脅威をもたらす。 本稿では,テキスト誘導拡散モデルを用いてパッチ攻撃に対処する新しい防御フレームワークであるDIFFenderを紹介する。 DIFFenderは、パッチのローカライゼーションと復元の2つのタスクを単一の拡散モデルフレームワークに統合する。
  論文  参考訳（メタデータ） (2023-06-15T13:33:27Z)
• Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
  我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。 修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。 効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
  論文  参考訳（メタデータ） (2022-12-30T18:45:23Z)
• Adv-Attribute: Inconspicuous and Transferable Adversarial Attack on Face Recognition [111.1952945740271]
  Adv-Attribute (Adv-Attribute) は、顔認証に対する不明瞭で伝達可能な攻撃を生成するように設計されている。 FFHQとCelebA-HQデータセットの実験は、提案されたAdv-Attributeメソッドが最先端の攻撃成功率を達成することを示している。
  論文  参考訳（メタデータ） (2022-10-13T09:56:36Z)
• Model-Agnostic Meta-Attack: Towards Reliable Evaluation of Adversarial Robustness [53.094682754683255]
  モデル非依存型メタアタック(MAMA)アプローチにより,より強力な攻撃アルゴリズムを自動検出する。 本手法は、繰り返しニューラルネットワークによってパラメータ化された逆攻撃を学習する。 本研究では,未知の防御を攻撃した場合の学習能力を向上させるために,モデルに依存しない訓練アルゴリズムを開発した。
  論文  参考訳（メタデータ） (2021-10-13T13:54:24Z)
• Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
  CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。 任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。 本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
  論文  参考訳（メタデータ） (2021-05-31T17:01:05Z)
• Jacks of All Trades, Masters Of None: Addressing Distributional Shift and Obtrusiveness via Transparent Patch Attacks [16.61388475767519]
  我々は,効果的な敵パッチ攻撃の開発に焦点をあてる。 我々は,新たな半透明パッチの設計を通じて,攻撃の成功と強迫性という敵意に対処する。
  論文  参考訳（メタデータ） (2020-05-01T23:50:37Z)
• Temporal Sparse Adversarial Attack on Sequence-based Gait Recognition [56.844587127848854]
  このような攻撃に対して,最先端の歩行認識モデルが脆弱であることを示す。 生成した対向ネットワークに基づくアーキテクチャを用いて、対向的な高品質な歩行シルエットやビデオフレームを意味的に生成する。 実験結果から, フレームの1分の1しか攻撃されない場合, 対象モデルの精度は劇的に低下することがわかった。
  論文  参考訳（メタデータ） (2020-02-22T10:08:42Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。