論文の概要: The Certification Paradox: Certifications Admit Better Attacks
- arxiv url: http://arxiv.org/abs/2302.04379v2
- Date: Fri, 9 Jun 2023 22:39:14 GMT
- ステータス: 処理完了
- システム内更新日: 2023-06-14 01:23:42.224240
- Title: The Certification Paradox: Certifications Admit Better Attacks
- Title(参考訳): Certification Paradox: より良い攻撃を許容する認定
- Authors: Andrew C. Cullen, Shijie Liu, Paul Montague, Sarah M. Erfani, Benjamin
I.P. Rubinstein
- Abstract要約: 認証メカニズムは、ニューラルネットワークの堅牢性を示す上で重要な役割を果たす。
認定されたモデルに関する追加情報を公開することによって、認定は意図しない結果をもたらすだろうか?
我々は、この疑問に肯定的な形で答え、認証がモデルの堅牢性を測定するだけでなく、新たな攻撃面も提示することを示す。
- 参考スコア(独自算出の注目度): 27.04033198073254
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: In guaranteeing that no adversarial examples exist within a bounded region,
certification mechanisms play an important role in demonstrating the robustness
of neural networks. In this work we ask: Could certifications have any
unintended consequences, through exposing additional information about
certified models? We answer this question in the affirmative, demonstrating
that certifications not only measure model robustness but also present a new
attack surface. We propose \emph{Certification Aware Attacks}, that produce
smaller adversarial perturbations more than twice as frequently as any prior
approach, when launched against certified models. Our attacks achieve an up to
$34\%$ reduction in the median perturbation norm (comparing target and attack
instances), while requiring $90 \%$ less computational time than approaches
like PGD. That our attacks achieve such significant reductions in perturbation
size and computational cost highlights an apparent paradox in deploying
certification mechanisms. We end the paper with a discussion of how these risks
could potentially be mitigated.
- Abstract(参考訳): 境界領域内に敵の例が存在しないことを保証するため、認証機構はニューラルネットワークの堅牢性を示す上で重要な役割を果たす。
認定モデルに関する追加情報を公開することで、認証は意図しない結果をもたらすのでしょうか?
我々はこの問いに肯定的に答え、認証がモデルの堅牢性を測定するだけでなく、新たな攻撃面を示すことを実証する。
我々は,認証モデルに対して開始された場合,従来の手法の2倍以上の頻度で,より小さな敵の摂動を発生させる \emph{certification aware attacks} を提案する。
私たちの攻撃は、平均摂動ノルム(ターゲットインスタンスと攻撃インスタンスの比較)を最大$34\%$の削減を実現しますが、pgdのようなアプローチよりも計算時間90 \%$を必要とします。
我々の攻撃が摂動サイズと計算コストの大幅な削減を達成したことは、認証機構の展開における明らかなパラドックスを浮き彫りにする。
我々は、これらのリスクを緩和する可能性について、論文を締めくくります。
関連論文リスト
- FullCert: Deterministic End-to-End Certification for Training and Inference of Neural Networks [62.897993591443594]
FullCertは、音と決定論的境界を持つ最初のエンドツーエンドの認証器である。
2つのデータセットに対してFullCertの有効性を実験的に示す。
論文 参考訳(メタデータ) (2024-06-17T13:23:52Z) - CrossCert: A Cross-Checking Detection Approach to Patch Robustness Certification for Deep Learning Models [6.129515045488372]
パッチ堅牢性認証は、証明可能な保証付き敵パッチ攻撃に対する、新たな防御技術である。
本稿ではCrossCertと呼ばれる新しい防御技術を提案する。
論文 参考訳(メタデータ) (2024-05-13T11:54:03Z) - Unlearning Backdoor Threats: Enhancing Backdoor Defense in Multimodal Contrastive Learning via Local Token Unlearning [49.242828934501986]
マルチモーダルコントラスト学習は高品質な機能を構築するための強力なパラダイムとして登場した。
バックドア攻撃は 訓練中に モデルに 悪意ある行動を埋め込む
我々は,革新的なトークンベースの局所的忘れ忘れ学習システムを導入する。
論文 参考訳(メタデータ) (2024-03-24T18:33:15Z) - It's Simplex! Disaggregating Measures to Improve Certified Robustness [32.63920797751968]
本研究は,認証機構の分析を改善するための2つのアプローチを提案する。
新しい認証アプローチは、達成可能な認定範囲の2倍以上の可能性を秘めている。
経験的評価は、我々の新しいアプローチがノイズスケール$sigma = 1$で9%以上のサンプルを認証できることを検証する。
論文 参考訳(メタデータ) (2023-09-20T02:16:19Z) - Enhancing the Antidote: Improved Pointwise Certifications against Poisoning Attacks [30.42301446202426]
毒殺攻撃は、トレーニングコーパスに小さな変更を加えることで、モデル行動に不当に影響を及ぼす可能性がある。
限られた数のトレーニングサンプルを修正した敵攻撃に対して,サンプルの堅牢性を保証することを可能とする。
論文 参考訳(メタデータ) (2023-08-15T03:46:41Z) - Double Bubble, Toil and Trouble: Enhancing Certified Robustness through
Transitivity [27.04033198073254]
ニューラルネットワークモデルの分類を反転させる微妙な敵の例に反応して、最近の研究は、ソリューションとして証明された堅牢性を促進している。
我々は,今日の"最適"証明書が,認証の推移性と入力空間の幾何学の両方を活用することで,どのように改善できるかを示す。
また, 得られた認定半径の4ドルパーセンテージを均一に増加させることにより, さらに有望な結果が得られた。
論文 参考訳(メタデータ) (2022-10-12T10:42:21Z) - COPA: Certifying Robust Policies for Offline Reinforcement Learning
against Poisoning Attacks [49.15885037760725]
本研究は, 中毒発生時におけるオフライン強化学習(RL)の堅牢性を検証することに注力する。
本報告では, 許容可能な毒素トラジェクトリの数を認証する最初の認証フレームワークであるCOPAを提案する。
提案手法のいくつかは理論的に厳密であり,一部はNP-Complete問題であることを示す。
論文 参考訳(メタデータ) (2022-03-16T05:02:47Z) - Fast Training of Provably Robust Neural Networks by SingleProp [71.19423596238568]
我々は、既存の認証された防御よりも効率的である新しい正規化器を開発した。
我々は、最先端の認証防御と比較して、訓練速度と同等の認証精度の向上を実証する。
論文 参考訳(メタデータ) (2021-02-01T22:12:51Z) - Breaking certified defenses: Semantic adversarial examples with spoofed
robustness certificates [57.52763961195292]
本稿では,分類器のラベル付け機能だけでなく,証明書生成機能を利用した新たな攻撃を提案する。
提案手法は, 画像がクラス境界から遠ざかる大きな摂動を, 対向例の不受容性を保ちながら適用する。
論文 参考訳(メタデータ) (2020-03-19T17:59:44Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。