論文の概要: Defending Black-box Classifiers by Bayesian Boundary Correction
- arxiv url: http://arxiv.org/abs/2306.16979v2
- Date: Tue, 17 Oct 2023 02:06:18 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-18 21:09:57.896939
- Title: Defending Black-box Classifiers by Bayesian Boundary Correction
- Title(参考訳): ベイズ境界補正によるブラックボックス識別
- Authors: He Wang and Yunfeng Diao
- Abstract要約: 脆弱なディープニューラルネットワークのための新しいブラックボックス防御フレームワークを提案する。
事前訓練された分類器を、モデル固有の知識がほとんどないレジリエントな分類器に変えることができる。
さらに、犠牲者を無傷に保つ新しいポストトレイン戦略も装備されている。
- 参考スコア(独自算出の注目度): 11.54107470827685
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Classifiers based on deep neural networks have been recently challenged by
Adversarial Attack, where the widely existing vulnerability has invoked the
research in defending them from potential threats. Given a vulnerable
classifier, existing defense methods are mostly white-box and often require
re-training the victim under modified loss functions/training regimes. While
the model/data/training specifics of the victim are usually unavailable to the
user, re-training is unappealing, if not impossible for reasons such as limited
computational resources. To this end, we propose a new black-box defense
framework. It can turn any pre-trained classifier into a resilient one with
little knowledge of the model specifics. This is achieved by new joint Bayesian
treatments on the clean data, the adversarial examples and the classifier, for
maximizing their joint probability. It is further equipped with a new
post-train strategy which keeps the victim intact. We name our framework
Bayesian Boundary Correction (BBC). BBC is a general and flexible framework
that can easily adapt to different data types. We instantiate BBC for image
classification and skeleton-based human activity recognition, for both static
and dynamic data. Exhaustive evaluation shows that BBC has superior robustness
and can enhance robustness without severely hurting the clean accuracy,
compared with existing defense methods.
- Abstract(参考訳): ディープニューラルネットワークに基づく分類器は、現在広く存在する脆弱性が潜在的な脅威からそれらを守るために研究を呼び起こしている敵の攻撃によって、最近挑戦されている。
脆弱な分類器が与えられた場合、既存の防御メソッドはほとんどがホワイトボックスであり、しばしば修正された損失関数/訓練レジームの下で被害者を再訓練する必要がある。
被害者のモデル/データ/トレーニング仕様は、通常はユーザーには利用できないが、限られた計算リソースなどの理由で、再トレーニングは不可能である。
そこで我々は,新しいブラックボックス防衛フレームワークを提案する。
事前訓練された分類器を、モデル仕様に関する知識がほとんどない回復力のあるものにすることができる。
これは、それらの結合確率を最大化するために、クリーンデータ、逆例、および分類器に関する新しい共同ベイズ処理によって達成される。
さらに、犠牲者を無傷に保つ新しいポストトレイン戦略も装備されている。
我々はベイズ境界補正フレームワーク(bbc)と命名する。
BBCは、さまざまなデータタイプに容易に適応できる汎用的で柔軟なフレームワークである。
我々は,静的データと動的データの両方に対して,画像分類と骨格に基づく人間の活動認識のためにBBCをインスタンス化する。
徹底的な評価の結果、bbcは従来の防御方法に比べて、堅牢性が優れており、クリーンな精度を損なうことなく堅牢性を高めることができることがわかった。
関連論文リスト
- Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Dissecting Distribution Inference [9.577509224534323]
分散推論攻撃は、機械学習モデルのトレーニングに使用されるデータの統計的特性を推測することを目的としている。
ブラックボックス攻撃は、ほとんどの設定で最もよく知られているホワイトボックス攻撃よりも優れています。
我々は,従来提案されていた防衛の有効性を評価し,新たな防衛を導入する。
論文 参考訳(メタデータ) (2022-12-15T02:43:51Z) - RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。
RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。
当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文 参考訳(メタデータ) (2022-07-12T19:34:47Z) - Defending Black-box Skeleton-based Human Activity Classifiers [38.95979614080714]
本稿では,人骨をベースとした人間行動認識について検討する。これは時系列データの重要なタイプであるが,攻撃に対する防御には不十分である。
BEATは単純だがエレガントで、脆弱なブラックボックス分類器を精度を犠牲にすることなく堅牢なものにします。
論文 参考訳(メタデータ) (2022-03-09T13:46:10Z) - An Orthogonal Classifier for Improving the Adversarial Robustness of
Neural Networks [21.13588742648554]
近年の研究では、分類層に特定の変更を加えることで、ニューラルネットワークの堅牢性を向上させることが示されている。
我々は、成分が同じ大きさの高密度直交重み行列を明示的に構築し、新しいロバストな分類器を生み出す。
我々の方法は、多くの最先端の防衛アプローチに対して効率的で競争力がある。
論文 参考訳(メタデータ) (2021-05-19T13:12:14Z) - Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。
我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。
実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文 参考訳(メタデータ) (2021-03-06T05:50:29Z) - Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。
非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。
提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
論文 参考訳(メタデータ) (2020-12-04T11:10:03Z) - How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。
本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。
我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
論文 参考訳(メタデータ) (2020-12-02T15:30:21Z) - Robustness May Be at Odds with Fairness: An Empirical Study on
Class-wise Accuracy [85.20742045853738]
CNNは敵の攻撃に弱いことが広く知られている。
本稿では,対人訓練モデルのクラスワイド精度とロバスト性に関する実証的研究を提案する。
トレーニングデータセットが各クラスに同じ数のサンプルを持つ場合でも,精度と堅牢性にはクラス間差があることが判明した。
論文 参考訳(メタデータ) (2020-10-26T06:32:32Z) - ATRO: Adversarial Training with a Rejection Option [10.36668157679368]
本稿では, 逆例による性能劣化を軽減するために, 拒否オプション付き分類フレームワークを提案する。
分類器と拒否関数を同時に適用することにより、テストデータポイントの分類に自信が不十分な場合に分類を控えることができる。
論文 参考訳(メタデータ) (2020-10-24T14:05:03Z) - Weight Poisoning Attacks on Pre-trained Models [103.19413805873585]
本研究は, バックドアを微調整した後に, バックドアを露出する脆弱性を伴って, 事前訓練した重量を注入した場合に, 重量中毒を発生させることが可能であることを示す。
感情分類,毒性検出,スパム検出に関する実験により,この攻撃は広く適用可能であり,深刻な脅威となることが示された。
論文 参考訳(メタデータ) (2020-04-14T16:51:42Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。