論文の概要: Stateful Defenses for Machine Learning Models Are Not Yet Secure Against Black-box Attacks

• arxiv url: http://arxiv.org/abs/2303.06280v3
• Date: Tue, 26 Sep 2023 04:36:30 GMT
• ステータス: 処理完了
• システム内更新日: 2023-09-27 20:55:58.102675
• Title: Stateful Defenses for Machine Learning Models Are Not Yet Secure Against Black-box Attacks
• Title（参考訳）: 機械学習モデルのステートフルディフェンスは、ブラックボックス攻撃に対してまだ安全ではない
• Authors: Ryan Feng, Ashish Hooda, Neal Mangaokar, Kassem Fawaz, Somesh Jha, Atul Prakash
• Abstract要約: 我々は、ステートフルディフェンスモデル(SDM)が、新しいタイプの適応ブラックボックス攻撃に対して非常に脆弱であることを示す。 我々はOracle-Guided Adaptive Rejection Smpling (OARS)と呼ばれる新しい適応ブラックボックス攻撃戦略を提案する。 本研究では,6つの共通ブラックボックス攻撃を強化する戦略を,現行のSDMに対して効果的に適用する方法を示す。
• 参考スコア（独自算出の注目度）: 28.93464970650329
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Recent work has proposed stateful defense models (SDMs) as a compelling strategy to defend against a black-box attacker who only has query access to the model, as is common for online machine learning platforms. Such stateful defenses aim to defend against black-box attacks by tracking the query history and detecting and rejecting queries that are "similar" and thus preventing black-box attacks from finding useful gradients and making progress towards finding adversarial attacks within a reasonable query budget. Recent SDMs (e.g., Blacklight and PIHA) have shown remarkable success in defending against state-of-the-art black-box attacks. In this paper, we show that SDMs are highly vulnerable to a new class of adaptive black-box attacks. We propose a novel adaptive black-box attack strategy called Oracle-guided Adaptive Rejection Sampling (OARS) that involves two stages: (1) use initial query patterns to infer key properties about an SDM's defense; and, (2) leverage those extracted properties to design subsequent query patterns to evade the SDM's defense while making progress towards finding adversarial inputs. OARS is broadly applicable as an enhancement to existing black-box attacks - we show how to apply the strategy to enhance six common black-box attacks to be more effective against current class of SDMs. For example, OARS-enhanced versions of black-box attacks improved attack success rate against recent stateful defenses from almost 0% to to almost 100% for multiple datasets within reasonable query budgets.
• Abstract（参考訳）: 最近の研究で、ステートフルディフェンスモデル(SDM)は、オンライン機械学習プラットフォームで一般的なように、モデルへのクエリアクセスしか持たないブラックボックス攻撃に対して、強力な防御戦略として提案されている。 このようなステートフルディフェンスは、クエリ履歴を追跡し、"類似"なクエリを検出して拒否することにより、ブラックボックスアタックが有用な勾配を見つけるのを防ぎ、適切なクエリ予算内で敵攻撃を見つけることによるブラックボックスアタックに対する防御を目指している。 最近のsdm(例えばblacklightやpiha)は、最先端のブラックボックス攻撃に対する防御に顕著な成功を収めている。 本稿では,sdmが適応ブラックボックス攻撃の新たなクラスに対して非常に脆弱であることを示す。 我々は,Oracle-Guided Adaptive Rejection Smpling (OARS) と呼ばれる新たな適応型ブラックボックス攻撃戦略を提案し,(1) 初期クエリパターンを用いてSDMの防御に関する重要な特性を推測し,(2) 抽出したプロパティを活用してその後のクエリパターンを設計し,SDMの防御を回避する。 OARSは、既存のブラックボックス攻撃の強化として広く適用されており、現在のSDMのクラスに対してより効果的に6つの一般的なブラックボックス攻撃を強化する戦略の適用方法を示す。 例えば、oarsで強化されたブラックボックス攻撃は、合理的なクエリ予算内で、最近のステートフル防御に対する攻撃成功率をほぼ0%から100%に改善した。

関連論文リスト

• Counter-Samples: A Stateless Strategy to Neutralize Black Box Adversarial Attacks [2.9815109163161204]
  本稿では,ブラックボックス攻撃に対する新たな防御法を提案する。 入力サンプルの衛生化に依存する従来の前処理防御とは異なり、我々の戦略は攻撃プロセス自体に対処する。 我々のアプローチは最先端のブラックボックス攻撃に対して極めて効果的であり、CIFAR-10とImageNetデータセットの双方で既存の防御性能を上回っていることを実証する。
  論文  参考訳（メタデータ） (2024-03-14T10:59:54Z)
• Certifiable Black-Box Attacks with Randomized Adversarial Examples: Breaking Defenses with Provable Confidence [34.35162562625252]
  ブラックボックスの敵攻撃は、機械学習モデルを妥協する強力な可能性を示している。 証明可能な保証付きブラックボックス攻撃の新たなパラダイムについて検討する。 この新しいブラックボックス攻撃は、機械学習モデルの重大な脆弱性を露呈する。
  論文  参考訳（メタデータ） (2023-04-10T01:12:09Z)
• Query Efficient Cross-Dataset Transferable Black-Box Attack on Action Recognition [99.29804193431823]
  ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。 本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。 提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
  論文  参考訳（メタデータ） (2022-11-23T17:47:49Z)
• Small Input Noise is Enough to Defend Against Query-based Black-box Attacks [23.712389625037442]
  本稿では,クエリベースのブラックボックス攻撃に対して,ノイズ防御がいかに小さいかを示す。 小さな追加入力ノイズでも、ほとんどのクエリベースの攻撃を中和できます。 強力な防御能力を持つSNDは、元のクリーンな精度と計算速度をほぼ維持します。
  論文  参考訳（メタデータ） (2021-01-13T01:45:59Z)
• Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
  ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。 NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
  論文  参考訳（メタデータ） (2020-09-24T06:22:56Z)
• Simple and Efficient Hard Label Black-box Adversarial Attacks in Low Query Budget Regimes [80.9350052404617]
  そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。 高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。 提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
  論文  参考訳（メタデータ） (2020-07-13T04:34:57Z)
• Blacklight: Scalable Defense for Neural Networks against Query-Based Black-Box Attacks [34.04323550970413]
  我々は、クエリベースのブラックボックス攻撃に対する新たな防御であるブラックライトを提案する。 Blacklightはクエリベースのブラックボックス攻撃を検出する。 我々はBlacklightを8つの最先端攻撃に対して、様々なモデルと画像分類タスクで評価する。
  論文  参考訳（メタデータ） (2020-06-24T20:52:24Z)
• RayS: A Ray Searching Method for Hard-label Adversarial Attack [99.72117609513589]
  我々は、レイサーチ攻撃(RayS)を提案し、これはハードラベル攻撃の有効性と効率を大幅に改善する。 モデルの正当性チェックとしても使用できる。
  論文  参考訳（メタデータ） (2020-06-23T07:01:50Z)
• Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised Learning [71.17774313301753]
  本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。 ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
  論文  参考訳（メタデータ） (2020-06-05T03:03:06Z)
• Spanning Attack: Reinforce Black-box Attacks with Unlabeled Data [96.92837098305898]
  Black-box攻撃は、機械学習モデルのインプット・アウトプットペアをクエリすることで、敵の摂動を発生させることを目的としている。 ブラックボックス攻撃はしばしば、入力空間の高次元性のためにクエリ非効率性の問題に悩まされる。 本研究では,低次元部分空間における逆摂動を,補助的なラベルのないデータセットに分散させることで抑制するスパンニング攻撃と呼ばれる新しい手法を提案する。
  論文  参考訳（メタデータ） (2020-05-11T05:57:15Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。