論文の概要: Investigating Stateful Defenses Against Black-Box Adversarial Examples

• arxiv url: http://arxiv.org/abs/2303.06280v1
• Date: Sat, 11 Mar 2023 02:10:21 GMT
• ステータス: 処理完了
• システム内更新日: 2023-03-14 19:54:52.244471
• Title: Investigating Stateful Defenses Against Black-Box Adversarial Examples
• Title（参考訳）: ブラックボックス反対事例に対する国家防衛調査
• Authors: Ryan Feng, Ashish Hooda, Neal Mangaokar, Kassem Fawaz, Somesh Jha, Atul Prakash
• Abstract要約: ホワイトボックス攻撃に対する機械学習(ML)モデルの防御は極めて困難であることが証明された。 最近の研究は、より制限されたブラックボックス攻撃に対する防衛を目的として、ステートフルな防衛を提案した。 現在の最先端のステートフルディフェンスであるBlacklightは、USENIX Security '22で提案され、CIFAR10とImageNetの両方のデータセットに対する攻撃の100%を防止した。
• 参考スコア（独自算出の注目度）: 26.905553663353825
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Defending machine-learning (ML) models against white-box adversarial attacks has proven to be extremely difficult. Instead, recent work has proposed stateful defenses in an attempt to defend against a more restricted black-box attacker. These defenses operate by tracking a history of incoming model queries, and rejecting those that are suspiciously similar. The current state-of-the-art stateful defense Blacklight was proposed at USENIX Security '22 and claims to prevent nearly 100% of attacks on both the CIFAR10 and ImageNet datasets. In this paper, we observe that an attacker can significantly reduce the accuracy of a Blacklight-protected classifier (e.g., from 82.2% to 6.4% on CIFAR10) by simply adjusting the parameters of an existing black-box attack. Motivated by this surprising observation, since existing attacks were evaluated by the Blacklight authors, we provide a systematization of stateful defenses to understand why existing stateful defense models fail. Finally, we propose a stronger evaluation strategy for stateful defenses comprised of adaptive score and hard-label based black-box attacks. We use these attacks to successfully reduce even reconfigured versions of Blacklight to as low as 0% robust accuracy.
• Abstract（参考訳）: ホワイトボックス攻撃に対する機械学習(ML)モデルの防御は極めて困難であることが証明された。 代わりに、近年の研究は、より制限されたブラックボックス攻撃から防御するために、ステートフルな防御を提案している。 これらの防御策は、入力されたモデルクエリの履歴を追跡し、疑わしいほど類似しているものを拒否することで機能する。 現在の最先端のステートフルディフェンスであるBlacklightは、USENIX Security '22で提案され、CIFAR10とImageNetの両方のデータセットに対する攻撃の100%を防止した。 本稿では,既存のブラックボックス攻撃のパラメータを単純に調整することで,攻撃者がブラックライト保護型分類器(例えば,CIFAR10では82.2%から6.4%)の精度を大幅に低減できることを示す。 この驚くべき観察に動機づけられ、既存の攻撃はblacklightの著者によって評価されたため、既存のステートフルな防御モデルがなぜ失敗したのかを理解するために、ステートフルな防御の体系化を提供する。 最後に,アダプティブスコアとハードラベルベースのブラックボックス攻撃からなるステートフル防御に対するより強力な評価戦略を提案する。 これらの攻撃を利用して、再構成されたBlacklightのバージョンさえも、0%の堅牢な精度で削減できるのです。

関連論文リスト

• Counter-Samples: A Stateless Strategy to Neutralize Black Box Adversarial Attacks [2.9815109163161204]
  本稿では,ブラックボックス攻撃に対する新たな防御法を提案する。 入力サンプルの衛生化に依存する従来の前処理防御とは異なり、我々の戦略は攻撃プロセス自体に対処する。 我々のアプローチは最先端のブラックボックス攻撃に対して極めて効果的であり、CIFAR-10とImageNetデータセットの双方で既存の防御性能を上回っていることを実証する。
  論文  参考訳（メタデータ） (2024-03-14T10:59:54Z)
• Certifiable Black-Box Attacks with Randomized Adversarial Examples: Breaking Defenses with Provable Confidence [34.35162562625252]
  ブラックボックスの敵攻撃は、機械学習モデルを妥協する強力な可能性を示している。 証明可能な保証付きブラックボックス攻撃の新たなパラダイムについて検討する。 この新しいブラックボックス攻撃は、機械学習モデルの重大な脆弱性を露呈する。
  論文  参考訳（メタデータ） (2023-04-10T01:12:09Z)
• Query Efficient Cross-Dataset Transferable Black-Box Attack on Action Recognition [99.29804193431823]
  ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。 本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。 提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
  論文  参考訳（メタデータ） (2022-11-23T17:47:49Z)
• Small Input Noise is Enough to Defend Against Query-based Black-box Attacks [23.712389625037442]
  本稿では,クエリベースのブラックボックス攻撃に対して,ノイズ防御がいかに小さいかを示す。 小さな追加入力ノイズでも、ほとんどのクエリベースの攻撃を中和できます。 強力な防御能力を持つSNDは、元のクリーンな精度と計算速度をほぼ維持します。
  論文  参考訳（メタデータ） (2021-01-13T01:45:59Z)
• Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
  ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。 NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
  論文  参考訳（メタデータ） (2020-09-24T06:22:56Z)
• Simple and Efficient Hard Label Black-box Adversarial Attacks in Low Query Budget Regimes [80.9350052404617]
  そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。 高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。 提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
  論文  参考訳（メタデータ） (2020-07-13T04:34:57Z)
• Blacklight: Scalable Defense for Neural Networks against Query-Based Black-Box Attacks [34.04323550970413]
  我々は、クエリベースのブラックボックス攻撃に対する新たな防御であるブラックライトを提案する。 Blacklightはクエリベースのブラックボックス攻撃を検出する。 我々はBlacklightを8つの最先端攻撃に対して、様々なモデルと画像分類タスクで評価する。
  論文  参考訳（メタデータ） (2020-06-24T20:52:24Z)
• RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
  我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。 モデルの正当性チェックとしても使用できる。
  論文  参考訳（メタデータ） (2020-06-23T07:01:50Z)
• Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised Learning [71.17774313301753]
  本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。 ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
  論文  参考訳（メタデータ） (2020-06-05T03:03:06Z)
• Spanning Attack: Reinforce Black-box Attacks with Unlabeled Data [96.92837098305898]
  Black-box攻撃は、機械学習モデルのインプット・アウトプットペアをクエリすることで、敵の摂動を発生させることを目的としている。 ブラックボックス攻撃はしばしば、入力空間の高次元性のためにクエリ非効率性の問題に悩まされる。 本研究では,低次元部分空間における逆摂動を,補助的なラベルのないデータセットに分散させることで抑制するスパンニング攻撃と呼ばれる新しい手法を提案する。
  論文  参考訳（メタデータ） (2020-05-11T05:57:15Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。