論文の概要: Defending Black-box Classifiers by Bayesian Boundary Correction
- arxiv url: http://arxiv.org/abs/2306.16979v2
- Date: Tue, 17 Oct 2023 02:06:18 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-18 21:09:57.896939
- Title: Defending Black-box Classifiers by Bayesian Boundary Correction
- Title(参考訳): ベイズ境界補正によるブラックボックス識別
- Authors: He Wang and Yunfeng Diao
- Abstract要約: 脆弱なディープニューラルネットワークのための新しいブラックボックス防御フレームワークを提案する。
事前訓練された分類器を、モデル固有の知識がほとんどないレジリエントな分類器に変えることができる。
さらに、犠牲者を無傷に保つ新しいポストトレイン戦略も装備されている。
- 参考スコア(独自算出の注目度): 11.54107470827685
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Classifiers based on deep neural networks have been recently challenged by
Adversarial Attack, where the widely existing vulnerability has invoked the
research in defending them from potential threats. Given a vulnerable
classifier, existing defense methods are mostly white-box and often require
re-training the victim under modified loss functions/training regimes. While
the model/data/training specifics of the victim are usually unavailable to the
user, re-training is unappealing, if not impossible for reasons such as limited
computational resources. To this end, we propose a new black-box defense
framework. It can turn any pre-trained classifier into a resilient one with
little knowledge of the model specifics. This is achieved by new joint Bayesian
treatments on the clean data, the adversarial examples and the classifier, for
maximizing their joint probability. It is further equipped with a new
post-train strategy which keeps the victim intact. We name our framework
Bayesian Boundary Correction (BBC). BBC is a general and flexible framework
that can easily adapt to different data types. We instantiate BBC for image
classification and skeleton-based human activity recognition, for both static
and dynamic data. Exhaustive evaluation shows that BBC has superior robustness
and can enhance robustness without severely hurting the clean accuracy,
compared with existing defense methods.
- Abstract(参考訳): ディープニューラルネットワークに基づく分類器は、現在広く存在する脆弱性が潜在的な脅威からそれらを守るために研究を呼び起こしている敵の攻撃によって、最近挑戦されている。
脆弱な分類器が与えられた場合、既存の防御メソッドはほとんどがホワイトボックスであり、しばしば修正された損失関数/訓練レジームの下で被害者を再訓練する必要がある。
被害者のモデル/データ/トレーニング仕様は、通常はユーザーには利用できないが、限られた計算リソースなどの理由で、再トレーニングは不可能である。
そこで我々は,新しいブラックボックス防衛フレームワークを提案する。
事前訓練された分類器を、モデル仕様に関する知識がほとんどない回復力のあるものにすることができる。
これは、それらの結合確率を最大化するために、クリーンデータ、逆例、および分類器に関する新しい共同ベイズ処理によって達成される。
さらに、犠牲者を無傷に保つ新しいポストトレイン戦略も装備されている。
我々はベイズ境界補正フレームワーク(bbc)と命名する。
BBCは、さまざまなデータタイプに容易に適応できる汎用的で柔軟なフレームワークである。
我々は,静的データと動的データの両方に対して,画像分類と骨格に基づく人間の活動認識のためにBBCをインスタンス化する。
徹底的な評価の結果、bbcは従来の防御方法に比べて、堅牢性が優れており、クリーンな精度を損なうことなく堅牢性を高めることができることがわかった。
関連論文リスト
- Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Dissecting Distribution Inference [8.14277881525535]
分散推論攻撃は、機械学習モデルのトレーニングに使用されるデータの統計的特性を推測することを目的としている。
ブラックボックス攻撃は、ほとんどの設定で最もよく知られているホワイトボックス攻撃よりも優れています。
我々は,従来提案されていた防衛の有効性を評価し,新たな防衛を導入する。
論文 参考訳(メタデータ) (2022-12-15T02:43:51Z) - Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack [53.032801921915436]
HAR(Human Activity Recognition)は、自動運転車など、幅広い用途に採用されている。
近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。
攻撃者がモデルの入出力しかアクセスできない場合でも、そのような脅威が存在することを示す。
BASARと呼ばれる骨格をベースとしたHARにおいて,最初のブラックボックス攻撃手法を提案する。
論文 参考訳(メタデータ) (2022-11-21T09:51:28Z) - RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。
RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。
当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文 参考訳(メタデータ) (2022-07-12T19:34:47Z) - Distributed Adversarial Training to Robustify Deep Neural Networks at
Scale [100.19539096465101]
現在のディープニューラルネットワーク(DNN)は、入力に対する敵の摂動が分類を変更したり操作したりする敵の攻撃に対して脆弱である。
このような攻撃を防御するために、敵の訓練(AT)として知られる効果的なアプローチが、堅牢な訓練を緩和するために示されている。
複数のマシンにまたがって実装された大規模バッチ対逆トレーニングフレームワークを提案する。
論文 参考訳(メタデータ) (2022-06-13T15:39:43Z) - Defending Black-box Skeleton-based Human Activity Classifiers [38.95979614080714]
本稿では,人骨をベースとした人間行動認識について検討する。これは時系列データの重要なタイプであるが,攻撃に対する防御には不十分である。
BEATは単純だがエレガントで、脆弱なブラックボックス分類器を精度を犠牲にすることなく堅牢なものにします。
論文 参考訳(メタデータ) (2022-03-09T13:46:10Z) - Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。
非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。
提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
論文 参考訳(メタデータ) (2020-12-04T11:10:03Z) - How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。
本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。
我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
論文 参考訳(メタデータ) (2020-12-02T15:30:21Z) - Robustness May Be at Odds with Fairness: An Empirical Study on
Class-wise Accuracy [85.20742045853738]
CNNは敵の攻撃に弱いことが広く知られている。
本稿では,対人訓練モデルのクラスワイド精度とロバスト性に関する実証的研究を提案する。
トレーニングデータセットが各クラスに同じ数のサンプルを持つ場合でも,精度と堅牢性にはクラス間差があることが判明した。
論文 参考訳(メタデータ) (2020-10-26T06:32:32Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。