論文の概要: Boosting Black-box Attack to Deep Neural Networks with Conditional
Diffusion Models
- arxiv url: http://arxiv.org/abs/2310.07492v1
- Date: Wed, 11 Oct 2023 13:39:11 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-12 22:42:51.436513
- Title: Boosting Black-box Attack to Deep Neural Networks with Conditional
Diffusion Models
- Title(参考訳): 条件拡散モデルを用いた深部ニューラルネットワークへのブラックボックス攻撃の促進
- Authors: Renyang Liu, Wei Zhou, Tianwei Zhang, Kangjie Chen, Jun Zhao and
Kwok-Yan Lam
- Abstract要約: 既存のブラックボックス攻撃は、ディープラーニングモデルを欺く敵の例(AE)を作成する有望な可能性を示している。
本稿では,新しいブラックボックス攻撃戦略である条件拡散モデル攻撃(CDMA)を提案する。
CDMAはクエリ数をほんの数回に減らすことができるが、ほとんどの場合、クエリカウントはONEのみである。
- 参考スコア(独自算出の注目度): 29.76809637878069
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Existing black-box attacks have demonstrated promising potential in creating
adversarial examples (AE) to deceive deep learning models. Most of these
attacks need to handle a vast optimization space and require a large number of
queries, hence exhibiting limited practical impacts in real-world scenarios. In
this paper, we propose a novel black-box attack strategy, Conditional Diffusion
Model Attack (CDMA), to improve the query efficiency of generating AEs under
query-limited situations. The key insight of CDMA is to formulate the task of
AE synthesis as a distribution transformation problem, i.e., benign examples
and their corresponding AEs can be regarded as coming from two distinctive
distributions and can transform from each other with a particular converter.
Unlike the conventional \textit{query-and-optimization} approach, we generate
eligible AEs with direct conditional transform using the aforementioned data
converter, which can significantly reduce the number of queries needed. CDMA
adopts the conditional Denoising Diffusion Probabilistic Model as the
converter, which can learn the transformation from clean samples to AEs, and
ensure the smooth development of perturbed noise resistant to various defense
strategies. We demonstrate the effectiveness and efficiency of CDMA by
comparing it with nine state-of-the-art black-box attacks across three
benchmark datasets. On average, CDMA can reduce the query count to a handful of
times; in most cases, the query count is only ONE. We also show that CDMA can
obtain $>99\%$ attack success rate for untarget attacks over all datasets and
targeted attack over CIFAR-10 with the noise budget of $\epsilon=16$.
- Abstract(参考訳): 既存のブラックボックス攻撃は、ディープラーニングモデルを欺く敵の例(AE)を作成する有望な可能性を示している。
これらの攻撃のほとんどは、膨大な最適化スペースを処理し、大量のクエリを必要とするため、現実のシナリオにおいて限られた実用的な影響を示す必要がある。
本稿では,クエリ制限状況下でのAE生成のクエリ効率を向上させるため,新しいブラックボックス攻撃戦略である条件拡散モデル攻撃(CDMA)を提案する。
cdmaの重要な洞察は、分布変換問題としてのae合成のタスクを定式化することであり、良質な例とその対応するaesは2つの異なる分布から来ており、特定の変換器で互いに変換することができる。
従来の \textit{query-and-optimization} アプローチとは異なり、上記のデータコンバータを用いて直接条件変換が可能なAEを生成し、必要なクエリ数を著しく削減できる。
CDMAは、クリーンサンプルからAEへの変換を学習し、様々な防御戦略に抵抗する摂動騒音の円滑な発達を保証するコンバータとして、条件付き脱雑音拡散確率モデルを採用している。
3つのベンチマークデータセットに対して9つの最先端のブラックボックス攻撃と比較することによりCDMAの有効性と効率を実証する。
平均すると、CDMAはクエリ数をほんの数回に減らすことができ、ほとんどの場合、クエリカウントはONEのみである。
また、CDMAは、すべてのデータセットに対する未ターゲット攻撃と、CIFAR-10に対するターゲット攻撃に対して、$\epsilon=16$のノイズ予算で、99\%の攻撃成功率を得ることができることを示す。
関連論文リスト
- GE-AdvGAN: Improving the transferability of adversarial samples by
gradient editing-based adversarial generative model [69.71629949747884]
GAN(Generative Adversarial Networks)のような逆生成モデルは、様々な種類のデータを生成するために広く応用されている。
本研究では, GE-AdvGAN という新しいアルゴリズムを提案する。
論文 参考訳(メタデータ) (2024-01-11T16:43:16Z) - DTA: Distribution Transform-based Attack for Query-Limited Scenario [11.874670564015789]
敵の例を生成する際、従来のブラックボックス攻撃法は攻撃対象モデルからの十分なフィードバックに依存している。
本稿では,攻撃された動作が限られた数のクエリを実行可能であることをシミュレートするハードラベル攻撃を提案する。
提案したアイデアの有効性とDTAの最先端性を検証する実験を行った。
論文 参考訳(メタデータ) (2023-12-12T13:21:03Z) - Transferable Attack for Semantic Segmentation [59.17710830038692]
敵が攻撃し、ソースモデルから生成された敵の例がターゲットモデルを攻撃するのに失敗するのを観察します。
本研究では, セマンティックセグメンテーションのためのアンサンブルアタックを提案する。
論文 参考訳(メタデータ) (2023-07-31T11:05:55Z) - Query Efficient Cross-Dataset Transferable Black-Box Attack on Action
Recognition [99.29804193431823]
ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。
本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。
提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
論文 参考訳(メタデータ) (2022-11-23T17:47:49Z) - T-SEA: Transfer-based Self-Ensemble Attack on Object Detection [9.794192858806905]
複数のブラックボックス検出器に対する高信頼度対向攻撃を実現するために, 1 つのモデルのみを用いて, モノ検出に対する単一モデル転送ベースブラックボックス攻撃を提案する。
我々は、パッチ最適化を正規モデル最適化と類似させ、入力データ、攻撃モデル、および敵パッチに一連の自己アンサンブルアプローチを提案する。
論文 参考訳(メタデータ) (2022-11-16T10:27:06Z) - MaskBlock: Transferable Adversarial Examples with Bayes Approach [35.237713022434235]
多様なモデルにまたがる敵の例の移動性は、ブラックボックスの敵攻撃において重要である。
我々は,バニラブラックボックスが最大推定(MLE)問題を解くことでAEを攻撃していることを示す。
本研究では,工芸品の転送可能なAEを,限られたデータで結果の一般化を促進する効果的な手法である後続確率推定問題の最大化として再定式化する。
論文 参考訳(メタデータ) (2022-08-13T01:20:39Z) - Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。
有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。
SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文 参考訳(メタデータ) (2022-07-25T03:24:58Z) - Defending Variational Autoencoders from Adversarial Attacks with MCMC [74.36233246536459]
変分オートエンコーダ(VAE)は、様々な領域で使用される深部生成モデルである。
以前の研究が示すように、視覚的にわずかに修正された入力に対する予期せぬ潜在表現と再構成を生成するために、VAEを簡単に騙すことができる。
本稿では, 敵攻撃構築のための目的関数について検討し, モデルのロバスト性を評価する指標を提案し, 解決策を提案する。
論文 参考訳(メタデータ) (2022-03-18T13:25:18Z) - Going Far Boosts Attack Transferability, but Do Not Do It [16.901240544106948]
7つの最適化アルゴリズム,4つのサロゲート,9つのブラックボックスモデルに関する包括的実験により,攻撃伝達性に対する最適化の影響を検討した。
最適化アルゴリズムからのAEsの様々な転送性は、元のサンプルから得られたRoot Mean Square Error(RMSE)と強く関係している。
LARAは転送可能性を大幅に20%改善するが、DNNの脆弱性を利用するには不十分である。
論文 参考訳(メタデータ) (2021-02-20T13:19:31Z) - Simple and Efficient Hard Label Black-box Adversarial Attacks in Low
Query Budget Regimes [80.9350052404617]
そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。
高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。
提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
論文 参考訳(メタデータ) (2020-07-13T04:34:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。