論文の概要: Run-Off Election: Improved Provable Defense against Data Poisoning
Attacks
- arxiv url: http://arxiv.org/abs/2302.02300v2
- Date: Thu, 11 May 2023 15:26:51 GMT
- ステータス: 処理完了
- システム内更新日: 2023-05-12 18:10:28.444342
- Title: Run-Off Election: Improved Provable Defense against Data Poisoning
Attacks
- Title(参考訳): ランオフ選挙: データ攻撃に対する防御が改善
- Authors: Keivan Rezaei, Kiarash Banihashem, Atoosa Chegini and Soheil Feizi
- Abstract要約: データ中毒攻撃では、相手はトレーニングデータ中のサンプルの追加、修正、削除によってモデルの予測を変更しようとする。
アンサンブル防衛における多数決を考慮すれば,有効に利用可能な情報を活用できないため,無駄であることを示す。
ベースモデル間の2ラウンドの選挙に基づく新しい集計手法であるRun-Off Election (ROE)を提案する。
- 参考スコア(独自算出の注目度): 43.10561893357565
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In data poisoning attacks, an adversary tries to change a model's prediction
by adding, modifying, or removing samples in the training data. Recently,
ensemble-based approaches for obtaining provable defenses against data
poisoning have been proposed where predictions are done by taking a majority
vote across multiple base models. In this work, we show that merely considering
the majority vote in ensemble defenses is wasteful as it does not effectively
utilize available information in the logits layers of the base models. Instead,
we propose Run-Off Election (ROE), a novel aggregation method based on a
two-round election across the base models: In the first round, models vote for
their preferred class and then a second, Run-Off election is held between the
top two classes in the first round. Based on this approach, we propose DPA+ROE
and FA+ROE defense methods based on Deep Partition Aggregation (DPA) and Finite
Aggregation (FA) approaches from prior work. We evaluate our methods on MNIST,
CIFAR-10, and GTSRB and obtain improvements in certified accuracy by up to
3%-4%. Also, by applying ROE on a boosted version of DPA, we gain improvements
around 12%-27% comparing to the current state-of-the-art, establishing a new
state-of-the-art in (pointwise) certified robustness against data poisoning. In
many cases, our approach outperforms the state-of-the-art, even when using 32
times less computational power.
- Abstract(参考訳): データ中毒攻撃では、相手はトレーニングデータ中のサンプルの追加、修正、削除によってモデルの予測を変更しようとする。
近年,複数のベースモデルにまたがって過半数の投票をすることで,データ中毒に対する証明可能な防御を得るためのアンサンブルベースのアプローチが提案されている。
本研究では,アンサンブル防衛における過半数の票を考慮すれば,基本モデルのロジット層で有効利用できないため,無駄であることを示す。
第1ラウンドでは、モデルが好みのクラスに投票し、第2ラウンドでは、第1ラウンドで上位2つのクラスの間でランオフ選挙が行われる。
そこで本研究では,dpa+roeとfa+roeの防御法として,dpa(deep partition aggregation)とfa(finite aggregate)アプローチを提案する。
我々は, MNIST, CIFAR-10, GTSRBについて評価し, 認証精度を最大3%-4%向上させた。
また, ROEをDPAの強化バージョンに適用することにより, 現在の最先端技術と比較して約12%-27%の改善が得られ, データ中毒に対する信頼性の高い新たな最先端技術が確立された。
多くの場合、我々の手法は32倍の計算能力でも最先端の手法よりも優れている。
関連論文リスト
- A Whole-Process Certifiably Robust Aggregation Method Against Backdoor Attacks in Federated Learning [11.239604882889498]
フェデレートラーニング(FL)は、金融、医療、サイバーセキュリティなど、さまざまな領域で広く採用されている。
FLは、悪意のあるアクターが訓練されたモデルにトリガーを挿入するバックドア攻撃による重大な脅威を受け続けている。
本稿では,バックドアアタックに対するロバスト性を向上するFLのための,新しいプロセス全体のロバストアグリゲーション(WPCRA)手法を提案する。
論文 参考訳(メタデータ) (2024-06-30T15:00:49Z) - Diffence: Fencing Membership Privacy With Diffusion Models [14.633898825111828]
ディープラーニングモデルは、メンバーシップ推論攻撃(MIA)に対して脆弱である
生成モデルを活用することでMIAに対する新たな防御フレームワークを導入する。
当社の防衛はDIFFENCEと呼ばれ、事前推論を行います。
論文 参考訳(メタデータ) (2023-12-07T20:45:09Z) - Alternating Objectives Generates Stronger PGD-Based Adversarial Attacks [78.2700757742992]
Projected Gradient Descent (PGD) は、そのような敵を生成するための最も効果的で概念的にシンプルなアルゴリズムの1つである。
この主張を合成データの例で実験的に検証し、提案手法を25の$ell_infty$-robustモデルと3つのデータセットで評価した。
私たちの最強の敵攻撃は、AutoAttackアンサンブルのすべてのホワイトボックスコンポーネントより優れています。
論文 参考訳(メタデータ) (2022-12-15T17:44:31Z) - Lethal Dose Conjecture on Data Poisoning [122.83280749890078]
データ中毒は、悪意のある目的のために機械学習アルゴリズムのトレーニングセットを歪ませる敵を考える。
本研究は, 致死線量導出法(Lethal Dose Conjecture)とよばれるデータ中毒の基礎について, 1つの予想を立証するものである。
論文 参考訳(メタデータ) (2022-08-05T17:53:59Z) - Robust Trajectory Prediction against Adversarial Attacks [84.10405251683713]
ディープニューラルネットワーク(DNN)を用いた軌道予測は、自律運転システムにおいて不可欠な要素である。
これらの手法は敵の攻撃に対して脆弱であり、衝突などの重大な結果をもたらす。
本研究では,敵対的攻撃に対する軌道予測モデルを保護するための2つの重要な要素を同定する。
論文 参考訳(メタデータ) (2022-07-29T22:35:05Z) - Defending against the Label-flipping Attack in Federated Learning [5.769445676575767]
フェデレーテッド・ラーニング(FL)は、参加する仲間にデザインによる自律性とプライバシを提供する。
ラベルフリッピング(LF)攻撃(英: label-flipping, LF)は、攻撃者がラベルをめくってトレーニングデータに毒を盛る攻撃である。
本稿では、まず、ピアのローカル更新からこれらの勾配を動的に抽出する新しいディフェンスを提案する。
論文 参考訳(メタデータ) (2022-07-05T12:02:54Z) - Improved Certified Defenses against Data Poisoning with (Deterministic)
Finite Aggregation [122.83280749890078]
本報告では, 一般中毒に対する予防的対策として, フィニット・アグリゲーション(Finite Aggregation)を提案する。
トレーニングセットを直接非結合部分集合に分割するDPAとは対照的に、我々の方法はまず、トレーニングセットをより小さな非結合部分集合に分割する。
我々は、決定論的および集約的認証された防御設計をブリッジして、我々の方法の代替的な見解を提供する。
論文 参考訳(メタデータ) (2022-02-05T20:08:58Z) - Voting based ensemble improves robustness of defensive models [82.70303474487105]
我々は、より堅牢性を高めるためのアンサンブルを作ることができるかどうか研究する。
最先端の先制防衛モデルを複数組み合わせることで,59.8%の堅牢な精度を達成できる。
論文 参考訳(メタデータ) (2020-11-28T00:08:45Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。