論文の概要: Boosting Black-box Attack to Deep Neural Networks with Conditional
Diffusion Models
- arxiv url: http://arxiv.org/abs/2310.07492v1
- Date: Wed, 11 Oct 2023 13:39:11 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-12 22:42:51.436513
- Title: Boosting Black-box Attack to Deep Neural Networks with Conditional
Diffusion Models
- Title(参考訳): 条件拡散モデルを用いた深部ニューラルネットワークへのブラックボックス攻撃の促進
- Authors: Renyang Liu, Wei Zhou, Tianwei Zhang, Kangjie Chen, Jun Zhao and
Kwok-Yan Lam
- Abstract要約: 既存のブラックボックス攻撃は、ディープラーニングモデルを欺く敵の例(AE)を作成する有望な可能性を示している。
本稿では,新しいブラックボックス攻撃戦略である条件拡散モデル攻撃(CDMA)を提案する。
CDMAはクエリ数をほんの数回に減らすことができるが、ほとんどの場合、クエリカウントはONEのみである。
- 参考スコア(独自算出の注目度): 29.76809637878069
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Existing black-box attacks have demonstrated promising potential in creating
adversarial examples (AE) to deceive deep learning models. Most of these
attacks need to handle a vast optimization space and require a large number of
queries, hence exhibiting limited practical impacts in real-world scenarios. In
this paper, we propose a novel black-box attack strategy, Conditional Diffusion
Model Attack (CDMA), to improve the query efficiency of generating AEs under
query-limited situations. The key insight of CDMA is to formulate the task of
AE synthesis as a distribution transformation problem, i.e., benign examples
and their corresponding AEs can be regarded as coming from two distinctive
distributions and can transform from each other with a particular converter.
Unlike the conventional \textit{query-and-optimization} approach, we generate
eligible AEs with direct conditional transform using the aforementioned data
converter, which can significantly reduce the number of queries needed. CDMA
adopts the conditional Denoising Diffusion Probabilistic Model as the
converter, which can learn the transformation from clean samples to AEs, and
ensure the smooth development of perturbed noise resistant to various defense
strategies. We demonstrate the effectiveness and efficiency of CDMA by
comparing it with nine state-of-the-art black-box attacks across three
benchmark datasets. On average, CDMA can reduce the query count to a handful of
times; in most cases, the query count is only ONE. We also show that CDMA can
obtain $>99\%$ attack success rate for untarget attacks over all datasets and
targeted attack over CIFAR-10 with the noise budget of $\epsilon=16$.
- Abstract(参考訳): 既存のブラックボックス攻撃は、ディープラーニングモデルを欺く敵の例(AE)を作成する有望な可能性を示している。
これらの攻撃のほとんどは、膨大な最適化スペースを処理し、大量のクエリを必要とするため、現実のシナリオにおいて限られた実用的な影響を示す必要がある。
本稿では,クエリ制限状況下でのAE生成のクエリ効率を向上させるため,新しいブラックボックス攻撃戦略である条件拡散モデル攻撃(CDMA)を提案する。
cdmaの重要な洞察は、分布変換問題としてのae合成のタスクを定式化することであり、良質な例とその対応するaesは2つの異なる分布から来ており、特定の変換器で互いに変換することができる。
従来の \textit{query-and-optimization} アプローチとは異なり、上記のデータコンバータを用いて直接条件変換が可能なAEを生成し、必要なクエリ数を著しく削減できる。
CDMAは、クリーンサンプルからAEへの変換を学習し、様々な防御戦略に抵抗する摂動騒音の円滑な発達を保証するコンバータとして、条件付き脱雑音拡散確率モデルを採用している。
3つのベンチマークデータセットに対して9つの最先端のブラックボックス攻撃と比較することによりCDMAの有効性と効率を実証する。
平均すると、CDMAはクエリ数をほんの数回に減らすことができ、ほとんどの場合、クエリカウントはONEのみである。
また、CDMAは、すべてのデータセットに対する未ターゲット攻撃と、CIFAR-10に対するターゲット攻撃に対して、$\epsilon=16$のノイズ予算で、99\%の攻撃成功率を得ることができることを示す。
関連論文リスト
- Enhancing Adversarial Transferability with Adversarial Weight Tuning [36.09966860069978]
敵対的な例(AE)は、人間の観察者に対して良心を抱きながらモデルを誤解させた。
AWTは、勾配に基づく攻撃法とモデルに基づく攻撃法を組み合わせて、AEの転送可能性を高めるデータフリーチューニング手法である。
論文 参考訳(メタデータ) (2024-08-18T13:31:26Z) - AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - Advancing Generalized Transfer Attack with Initialization Derived Bilevel Optimization and Dynamic Sequence Truncation [49.480978190805125]
転送攻撃はブラックボックスアプリケーションに大きな関心を惹きつける。
既存の作業は、本質的に単一のレベルの目的 w.r.t. シュロゲートモデルを直接最適化する。
本稿では,上位レベル(UL)と下位レベル(LL)のサロゲート攻撃とのネスト関係を明示的に再構築する2レベル最適化手法を提案する。
論文 参考訳(メタデータ) (2024-06-04T07:45:27Z) - GE-AdvGAN: Improving the transferability of adversarial samples by
gradient editing-based adversarial generative model [69.71629949747884]
GAN(Generative Adversarial Networks)のような逆生成モデルは、様々な種類のデータを生成するために広く応用されている。
本研究では, GE-AdvGAN という新しいアルゴリズムを提案する。
論文 参考訳(メタデータ) (2024-01-11T16:43:16Z) - DTA: Distribution Transform-based Attack for Query-Limited Scenario [11.874670564015789]
敵の例を生成する際、従来のブラックボックス攻撃法は攻撃対象モデルからの十分なフィードバックに依存している。
本稿では,攻撃された動作が限られた数のクエリを実行可能であることをシミュレートするハードラベル攻撃を提案する。
提案したアイデアの有効性とDTAの最先端性を検証する実験を行った。
論文 参考訳(メタデータ) (2023-12-12T13:21:03Z) - Certifiable Black-Box Attacks with Randomized Adversarial Examples: Breaking Defenses with Provable Confidence [34.35162562625252]
ブラックボックスの敵攻撃は、機械学習モデルを妥協する強力な可能性を示している。
証明可能な保証付きブラックボックス攻撃の新たなパラダイムについて検討する。
この新しいブラックボックス攻撃は、機械学習モデルの重大な脆弱性を露呈する。
論文 参考訳(メタデータ) (2023-04-10T01:12:09Z) - Query Efficient Cross-Dataset Transferable Black-Box Attack on Action
Recognition [99.29804193431823]
ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。
本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。
提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
論文 参考訳(メタデータ) (2022-11-23T17:47:49Z) - MaskBlock: Transferable Adversarial Examples with Bayes Approach [35.237713022434235]
多様なモデルにまたがる敵の例の移動性は、ブラックボックスの敵攻撃において重要である。
我々は,バニラブラックボックスが最大推定(MLE)問題を解くことでAEを攻撃していることを示す。
本研究では,工芸品の転送可能なAEを,限られたデータで結果の一般化を促進する効果的な手法である後続確率推定問題の最大化として再定式化する。
論文 参考訳(メタデータ) (2022-08-13T01:20:39Z) - Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。
有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。
SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文 参考訳(メタデータ) (2022-07-25T03:24:58Z) - Defending Variational Autoencoders from Adversarial Attacks with MCMC [74.36233246536459]
変分オートエンコーダ(VAE)は、様々な領域で使用される深部生成モデルである。
以前の研究が示すように、視覚的にわずかに修正された入力に対する予期せぬ潜在表現と再構成を生成するために、VAEを簡単に騙すことができる。
本稿では, 敵攻撃構築のための目的関数について検討し, モデルのロバスト性を評価する指標を提案し, 解決策を提案する。
論文 参考訳(メタデータ) (2022-03-18T13:25:18Z) - Going Far Boosts Attack Transferability, but Do Not Do It [16.901240544106948]
7つの最適化アルゴリズム,4つのサロゲート,9つのブラックボックスモデルに関する包括的実験により,攻撃伝達性に対する最適化の影響を検討した。
最適化アルゴリズムからのAEsの様々な転送性は、元のサンプルから得られたRoot Mean Square Error(RMSE)と強く関係している。
LARAは転送可能性を大幅に20%改善するが、DNNの脆弱性を利用するには不十分である。
論文 参考訳(メタデータ) (2021-02-20T13:19:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。