論文の概要: Rethinking Model Ensemble in Transfer-based Adversarial Attacks

• arxiv url: http://arxiv.org/abs/2303.09105v2
• Date: Mon, 4 Mar 2024 11:30:06 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-07 04:01:10.176999
• Title: Rethinking Model Ensemble in Transfer-based Adversarial Attacks
• Title（参考訳）: 伝達型敵攻撃におけるモデルアンサンブルの再考
• Authors: Huanran Chen, Yichi Zhang, Yinpeng Dong, Xiao Yang, Hang Su, Jun Zhu
• Abstract要約: 転送可能性を改善する効果的な戦略は、モデルのアンサンブルを攻撃することである。 これまでの作業は、単に異なるモデルの出力を平均化するだけであった。 我々は、より移動可能な敵の例を生成するために、CWA(Common Weakness Attack)を提案する。
• 参考スコア（独自算出の注目度）: 46.82830479910875
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: It is widely recognized that deep learning models lack robustness to adversarial examples. An intriguing property of adversarial examples is that they can transfer across different models, which enables black-box attacks without any knowledge of the victim model. An effective strategy to improve the transferability is attacking an ensemble of models. However, previous works simply average the outputs of different models, lacking an in-depth analysis on how and why model ensemble methods can strongly improve the transferability. In this paper, we rethink the ensemble in adversarial attacks and define the common weakness of model ensemble with two properties: 1) the flatness of loss landscape; and 2) the closeness to the local optimum of each model. We empirically and theoretically show that both properties are strongly correlated with the transferability and propose a Common Weakness Attack (CWA) to generate more transferable adversarial examples by promoting these two properties. Experimental results on both image classification and object detection tasks validate the effectiveness of our approach to improving the adversarial transferability, especially when attacking adversarially trained models. We also successfully apply our method to attack a black-box large vision-language model -- Google's Bard, showing the practical effectiveness. Code is available at \url{https://github.com/huanranchen/AdversarialAttacks}.
• Abstract（参考訳）: ディープラーニングモデルには、敵対的な例に対する堅牢性がないことが広く認識されている。 相反する例の興味深い特性は、異なるモデルにまたがって転送できることであり、被害者のモデルを知ることなくブラックボックス攻撃を可能にする。 転送性を改善する効果的な戦略は、モデルのアンサンブルを攻撃することである。 しかし、以前の作品では、異なるモデルの出力を平均化しており、モデルアンサンブルメソッドが転送可能性を強く改善できる理由と方法に関する詳細な分析を欠いている。 本稿では,敵攻撃におけるアンサンブルを再考し,モデルアンサンブルの共通弱点を2つの特性で定義する。 1)損失景観の平坦性,及び 2)各モデルの局所的最適度との密接性。 両特性が伝達可能性と強く相関していることを実証的および理論的に示し,これら2つの特性を促進させることにより,より伝達可能な逆例を生成する共通弱攻撃(CWA)を提案する。 画像分類と物体検出の両タスクの実験結果から, 対向的伝達性向上へのアプローチの有効性が検証された。 また,本手法を応用して,実効性を示すgoogleのbardであるblack-box large vision-languageモデルにも適用した。 コードは \url{https://github.com/huanranchen/adversarialattacks}で入手できる。

関連論文リスト

• Scaling Laws for Black box Adversarial Attacks [37.744814957775965]
  敵の例では、クロスモデル転送可能性を示し、ブラックボックスモデルを攻撃することができる。 モデルアンサンブルは、複数のサロゲートモデルを同時に攻撃することで、転送可能性を改善する効果的な戦略である。 スケールされた攻撃はセマンティクスにおいてより良い解釈可能性をもたらし、モデルの共通の特徴がキャプチャーされることを示す。
  論文  参考訳（メタデータ） (2024-11-25T08:14:37Z)
• SA-Attack: Improving Adversarial Transferability of Vision-Language Pre-training Models via Self-Augmentation [56.622250514119294]
  ホワイトボックスの敵攻撃とは対照的に、転送攻撃は現実世界のシナリオをより反映している。 本稿では,SA-Attackと呼ばれる自己拡張型転送攻撃手法を提案する。
  論文  参考訳（メタデータ） (2023-12-08T09:08:50Z)
• Enhancing Adversarial Attacks: The Similar Target Method [6.293148047652131]
  敵対的な例は、ディープニューラルネットワークのアプリケーションに脅威をもたらす。 ディープニューラルネットワークは敵の例に対して脆弱であり、モデルのアプリケーションに脅威を与え、セキュリティ上の懸念を提起する。 我々はSimisal Target(ST)という類似の攻撃手法を提案する。
  論文  参考訳（メタデータ） (2023-08-21T14:16:36Z)
• An Adaptive Model Ensemble Adversarial Attack for Boosting Adversarial Transferability [26.39964737311377]
  我々はAdaEAと呼ばれる適応型アンサンブル攻撃を提案し、各モデルからの出力の融合を適応的に制御する。 我々は、様々なデータセットに対する既存のアンサンブル攻撃よりも大幅に改善した。
  論文  参考訳（メタデータ） (2023-08-05T15:12:36Z)
• Frequency Domain Model Augmentation for Adversarial Attack [91.36850162147678]
  ブラックボックス攻撃の場合、代用モデルと被害者モデルの間のギャップは通常大きい。 そこで本研究では,通常の訓練モデルと防衛モデルの両方に対して,より伝達可能な対角線モデルを構築するための新しいスペクトルシミュレーション攻撃を提案する。
  論文  参考訳（メタデータ） (2022-07-12T08:26:21Z)
• Harnessing Perceptual Adversarial Patches for Crowd Counting [92.79051296850405]
  群衆のカウントは、物理的な世界の敵の例に弱い。 本稿では,モデル間での知覚的特徴の共有を学習するためのPAP(Perceptual Adrial Patch)生成フレームワークを提案する。
  論文  参考訳（メタデータ） (2021-09-16T13:51:39Z)
• Learning to Attack: Towards Textual Adversarial Attacking in Real-world Situations [81.82518920087175]
  敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。 本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
  論文  参考訳（メタデータ） (2020-09-19T09:12:24Z)
• Two Sides of the Same Coin: White-box and Black-box Attacks for Transfer Learning [60.784641458579124]
  ホワイトボックスFGSM攻撃によるモデルロバスト性を効果的に向上することを示す。 また,移動学習モデルに対するブラックボックス攻撃手法を提案する。 ホワイトボックス攻撃とブラックボックス攻撃の双方の効果を系統的に評価するために,ソースモデルからターゲットモデルへの変換可能性の評価手法を提案する。
  論文  参考訳（メタデータ） (2020-08-25T15:04:32Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。