論文の概要: Boosting Adversarial Attacks by Leveraging Decision Boundary Information
- arxiv url: http://arxiv.org/abs/2303.05719v1
- Date: Fri, 10 Mar 2023 05:54:11 GMT
- ステータス: 処理完了
- システム内更新日: 2023-03-13 15:57:51.864906
- Title: Boosting Adversarial Attacks by Leveraging Decision Boundary Information
- Title(参考訳): 決定境界情報の活用による敵攻撃の促進
- Authors: Boheng Zeng, LianLi Gao, QiLong Zhang, ChaoQun Li, JingKuan Song and
ShuaiQi Jing
- Abstract要約: 異なるモデルの勾配は、元の位置よりも決定境界に類似している。
転送性向上のための境界フィッティング攻撃を提案する。
本手法では, 平均攻撃成功率は58.2%であり, 他の最先端のトランスファーベース攻撃よりも10.8%高い。
- 参考スコア(独自算出の注目度): 68.07365511533675
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Due to the gap between a substitute model and a victim model, the
gradient-based noise generated from a substitute model may have low
transferability for a victim model since their gradients are different.
Inspired by the fact that the decision boundaries of different models do not
differ much, we conduct experiments and discover that the gradients of
different models are more similar on the decision boundary than in the original
position. Moreover, since the decision boundary in the vicinity of an input
image is flat along most directions, we conjecture that the boundary gradients
can help find an effective direction to cross the decision boundary of the
victim models. Based on it, we propose a Boundary Fitting Attack to improve
transferability. Specifically, we introduce a method to obtain a set of
boundary points and leverage the gradient information of these points to update
the adversarial examples. Notably, our method can be combined with existing
gradient-based methods. Extensive experiments prove the effectiveness of our
method, i.e., improving the success rate by 5.6% against normally trained CNNs
and 14.9% against defense CNNs on average compared to state-of-the-art
transfer-based attacks. Further we compare transformers with CNNs, the results
indicate that transformers are more robust than CNNs. However, our method still
outperforms existing methods when attacking transformers. Specifically, when
using CNNs as substitute models, our method obtains an average attack success
rate of 58.2%, which is 10.8% higher than other state-of-the-art transfer-based
attacks.
- Abstract(参考訳): 代替モデルと被害者モデルとのギャップのため、代替モデルから発生する勾配に基づくノイズは、その勾配が異なるため、被害者モデルへの移動性が低い可能性がある。
異なるモデルの決定境界はそれほど異なるものではないという事実に着想を得て実験を行い、異なるモデルの勾配が元の位置よりも決定境界に類似していることを発見した。
さらに,入力画像近傍における決定境界は,ほとんどの方向に沿って平坦であるため,この境界勾配は,被害者モデルの決定境界を横断する有効な方向を見つけるのに役立つと推測する。
そこで本研究では,転送性向上のための境界フィッティング攻撃を提案する。
具体的には、境界点の集合を取得し、これらの点の勾配情報を利用して逆の例を更新する手法を提案する。
特に,本手法は既存の勾配法と組み合わせることができる。
広範な実験により、通常訓練されたcnnに対して5.6%、防御用cnnに対して14.9%の成功率の向上が、最先端のトランスファーベース攻撃と比較して証明された。
さらに,変換器とCNNを比較することで,変換器はCNNよりも堅牢であることを示す。
しかし,本手法は変圧器攻撃時の既存手法よりも優れている。
具体的には、CNNを代替モデルとして使用する場合、58.2%の平均攻撃成功率は、他の最先端の転送ベース攻撃よりも10.8%高い。
関連論文リスト
- Making Substitute Models More Bayesian Can Enhance Transferability of
Adversarial Examples [89.85593878754571]
ディープニューラルネットワークにおける敵の例の転送可能性は多くのブラックボックス攻撃の欠如である。
我々は、望ましい転送可能性を達成するためにベイズモデルを攻撃することを提唱する。
我々の手法は近年の最先端を大きなマージンで上回る。
論文 参考訳(メタデータ) (2023-02-10T07:08:13Z) - Enhancing Targeted Attack Transferability via Diversified Weight Pruning [0.3222802562733786]
悪意のある攻撃者は、画像に人間の知覚できないノイズを与えることによって、標的となる敵の例を生成することができる。
クロスモデル転送可能な敵の例では、モデル情報が攻撃者から秘密にされている場合でも、ニューラルネットワークの脆弱性は残る。
近年の研究では, エンサンブル法の有効性が示されている。
論文 参考訳(メタデータ) (2022-08-18T07:25:48Z) - Query-Efficient Black-box Adversarial Attacks Guided by a Transfer-based
Prior [50.393092185611536]
対象モデルの勾配にアクセスできることなく、敵が敵の例を作らなければならないブラックボックスの敵設定を考える。
従来の手法では、代用ホワイトボックスモデルの転送勾配を用いたり、モデルクエリのフィードバックに基づいて真の勾配を近似しようとした。
偏りサンプリングと勾配平均化に基づく2つの事前誘導型ランダム勾配フリー(PRGF)アルゴリズムを提案する。
論文 参考訳(メタデータ) (2022-03-13T04:06:27Z) - Boosting Transferability of Targeted Adversarial Examples via
Hierarchical Generative Networks [56.96241557830253]
転送ベースの敵攻撃はブラックボックス設定におけるモデルロバスト性を効果的に評価することができる。
本稿では,異なるクラスを対象にした対角的例を生成する条件生成攻撃モデルを提案する。
提案手法は,既存の手法と比較して,標的となるブラックボックス攻撃の成功率を大幅に向上させる。
論文 参考訳(メタデータ) (2021-07-05T06:17:47Z) - Improving Adversarial Transferability with Gradient Refining [7.045900712659982]
逆の例は、人間の知覚できない摂動を原画像に加えることによって作られる。
ディープニューラルネットワークは、原画像に人間に知覚不能な摂動を加えることによって作られる逆転例に対して脆弱である。
論文 参考訳(メタデータ) (2021-05-11T07:44:29Z) - Staircase Sign Method for Boosting Adversarial Attacks [123.19227129979943]
トランスファーベースの攻撃の敵の例を作るのは難しいし、研究のホットスポットだ。
そこで本研究では,この問題を緩和するための新しい階段サイン法(S$2$M)を提案する。
我々の手法は一般に転送ベースの攻撃と統合することができ、計算オーバーヘッドは無視できる。
論文 参考訳(メタデータ) (2021-04-20T02:31:55Z) - Enhancing the Transferability of Adversarial Attacks through Variance
Tuning [6.5328074334512]
反復勾配に基づく攻撃手法のクラスを強化するための分散チューニングと呼ばれる新しい方法を提案する。
標準のImageNetデータセットを用いた実験結果から,勾配に基づく敵攻撃の転送性を大幅に向上できることが示された。
論文 参考訳(メタデータ) (2021-03-29T12:41:55Z) - Boosting Adversarial Transferability through Enhanced Momentum [50.248076722464184]
深層学習モデルは、人間の知覚できない摂動を良心的なイメージに加えることで、敵の例に弱い。
さまざまな運動量反復勾配に基づく方法が逆転性を改善するのに有効であることが示されている。
本稿では,逆伝達性をさらに高めるために,運動量反復勾配に基づく手法を提案する。
論文 参考訳(メタデータ) (2021-03-19T03:10:32Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。